本文通过五个基础安全题目,包括SQL注入、文件上传突破、文件包含、反序列化漏洞和失效的访问控制,详细讲解了每个题目的解题思路和方法,涉及网络攻防中的常见技术,如PHP编码绕过、数据库查询、文件类型限制和逻辑漏洞利用。
基础题目一:SQL注入
通过分析题目,发现这道题为一种文章发布系统的SQL系统题,随机点击页面没有发现任何可以进行注入的点,唯一有一个登录和注册页面,且都需要进行登录,因此随便注册一个账号
通过分析代码过滤规则,题目会对--+、-- 、#等进行过滤,因此需要采用编码方式或者其他方式进行绕过。开始观看题目没有思绪,就随机进行留言发表
发布完后,发现页面显示会显示成功连个字,并在代码过滤规则下面单独生成一串代码,显示题目进行insert操作,其中“123”为输入的文章标题内容,“12345”是输入的文章内容,“12345admin12345"为登录的用户名。且点击文章之后出现了我们输入的内容,因此注入点显示为”文章标题“与”文章内容“两个部分。通过分析代码发现可以采用内容结合方式进行注入:
发现文章进行注入成功,且成功显示出来了2和3两个数字
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
