XCTF:练习CTF解题XMAN比赛 8-8 login

最新推荐文章于 2023-12-26 16:18:44 发布
最新推荐文章于 2023-12-26 16:18:44 发布
阅读量1.9k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongyanwen6036/article/details/77851657
版权
login首先查看源码(看关键点):因为是post方式那么我们就利用bp.在登陆页面输入username=admin,,password=admin得到下面信息:下面分析: if ($result!=null&&$result->rowCount()==1) { echo $flag; }搜了一下P
摘要由CSDN通过智能技术生成

 login

首先查看源码(看关键点):


因为是post方式那么我们就利用bp.

在登陆页面输入username=admin,,password=admin得到下面信息:


最低0.47元/天 解锁文章
Gunther17
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugKuCTF中套路满满的题-------login3(SKCTF)
qq_42133828的博客
02-09 3036
根据题目给的提示,无疑是基于bool的盲注,而关于盲注的一般都与脚本有关,毕竟很少人会去一个一个猜 然而,再用脚本解决这个问题时,也需要找到准确的注入语句,否则,白费。。。 首先进入页面一试用户名为admin,发现密码报错(说明此用户存在,那么关键的问题就是密码了。。): 再构造语句,进行几次的基于bool盲注的注入,查看一下有没有绕过一些特殊的语句 username='^(1)^1...
CTF大赛】第五届XMan选拔赛 ezCM Writeup
HBohan的博客
08-12 859
ezCM 直至比赛结束,这道题目都是 0 解题,一方面是因为比赛时间较短,另一方面还是因为这道题目较难,考察了不常见的椭圆曲线算法(ECC),大大增加了对做题者的要求。 题目信息 题目是使用 Golang 来编写的一个 CrackMe 程序,程序内符号没有被去除,所以这篇文章就不会讲解如何恢复 Golang 程序符号,另外 IDA Pro 7.6 已经支持 Golang 程序分析,打开就可以直接恢复被去除的符号信息。 题目要求打开一个 KeyFile ,并且通过读取其文件的内容来注册程序,我们要做的就是通
BugkuCTF-Reverse题First_Mobile(xman)
am_03的博客
08-26 425
知识点 1.getByte() 功能:返回字符的ascii码值 2.equals() 功能:用于将字符串与指定的对象比较。 结果:相等时返回true,反之返回false 下载apk文件 使用jeb3打开反编译代码 分析,程序将editText里的内容进行一次encode.check检查,通过就显示correct 那核心代码应该在encode函数里 这个函数逻辑很简单,就是对输入的长度为16的字符串的每个字符进行运算,若运算结果字符没有变,就通过。 解方程太复杂了,编写一个简单的python脚本进行爆破
阿里云ECS服务器Linux第一次登录 提示Login Incorrect的解决方法
热门推荐
专注学习游戏开发【真原创】
12-03 1万+
问题情景: 1:第一次购买ECS服务器,镜像为CentOS7 2:没有设置过系统root账户的Login密码(不是连接远程时提示需要输入的那个6位纯数字密码哈) 3:在阿里云控制台中启动“远程连接” 4:输入6位纯数字密码(首次连接会提示密码,后面不再提示,需要记下来) 5:密码输入成功后,等一会自动会连接到远程控制台界面 6:输入root登录管理账户 7:提示输入Password...
Python 验证码 crunch|狼组CTF题 有验证码后台账号密码爆破
tempulcc的博客
08-31 1220
本文通过一道狼组ctf题目,讲解通过crunch生成字典,对有验证码的网站后台进行账号密码破解,后续还更新了多线程的脚本文件,脚本文件在我的资源里可以下载。
XCTF-RE】新手练习-Hello, CTF.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/gisa2b
XCTF-Mobile】新手练习-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
XCTF-Mobile】新手练习-02-easy-dex.apk
08-16
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5089&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/easydex
XCTF-RE】新手练习-simple-unpack
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ld1cw8
Google CTF GATEKEEPER逆向 //使用ltrace跟踪程序
Ba1_Ma0的博客
06-08 346
需要题目和逆向工具的都可以加我qq:3316735898,有什么不懂的也可以来问我直接运行程序后,它会提醒你输入用户名和密码我们随意输入几个字符串程序提示用户名输入错误 这里我不打算用常规的方法来逆向这个程序,这题我打算使用ltrace工具来跟踪程序的运行这个工具是用来跟踪进程调用库函数的情况 出现了一大堆无用的代码,我们需要筛选一下有用的函数 我们通过重定向到标准错误流到标准输出,然后通过grep筛选出strcmp函数 这个函数会将我们输入的值与一个程序里的值做对比,最后输出的是布尔值,如果对比的值一样
百度杯”CTF比赛 十月场 login
Naptmn的博客
11-16 878
1、打开题目 打开题目发现是登录窗口,之后f12发现疑似账号密码的东西,之后输入发现确实是账号密码。 登录之后发现了一串颜文字。 2、bp抓包 因为已经找到了账号密码,所以大概率就不是注入了。之后考虑302跳转,所以进行bp抓包(记得抓的是登录后的包!!!别抓错了)。 并没有跳转,但是在response中发现一个奇怪的参数show:0,考虑是不是应该把他放到包里再来一次。试试就试试。 传递方式注意的是:上面的网址看清楚(我不知道为什么会莫名多出来几个包) show:后面加个空格 之后看response
BugkuCTFlogin3(SKCTF)
z2bns的博客
07-17 684
BugkuCTFlogin3(SKCTF) 题目地址:http://123.206.31.85:49167/ 基于布尔的盲注即可以根据返回页面判断条件真假的注入 1,本题是直接一个登陆框让你登录 随便输一个username:123 password:123提示username does not exist! 输入admin admin提示password erro...
Bugku-CTFlogin3(SKCTF)(基于布尔的SQL盲注)
weixin_30593443的博客
07-12 436
Day41 login3(SKCTF) http://123.206.31.85:49167/ flag格式:SKCTF{xxxxxxxxxxxxx} hint:基于布尔的SQL盲注 本题要点:异或运算、布尔盲注、过滤 打开是一个登录窗口 用bp抓一下包 发送至repeater 没什么新发现........ 随便试试其他用户名,...
ctf-WEB-login2(sql注入)
god_001的博客
05-12 2519
题目地址:跳转提示 打开网址,是一个熟悉的登陆页面,几次登录尝试发现报错回显只有一种 应当不是基于布尔的盲注,bp抓包看看: 发现响应中有一串奇怪的字符,尝试使用base64解码,得到: 这应该是一个提示,需要绕过其判断条件 这里就可以利用联合查询来注入(union select) 之前说过,union select后面加数字串时,如果没有后面的表名,则该语句没有向任何一个数据库查询,那么它输出的内容就是select后的数字,并且使用联合查询要求必须保证前后查询的字段数一致,因此要绕
BugKu-CTF(web篇)---login2
Nailaoyyds的博客
04-02 3437
目录 login2 base64解码 审计分析语句 制作payload 拿到flag login2 从登录框入手 抓包分析一下,发现了一个小tip base64解码 审计分析语句 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样 payload为username=admin' union select 1,md5(123)#&passwor...
CTF渗透训练(笔记)
最新发布
weixin_57536426的博客
12-26 1027
将该请求发送至repeater页面并且修改文件名为要执行的PHP代码,点击go将请求发出,点击Render查看图形化的响应页面,其中包含代码执行的结果.利用远程代码执行漏洞下载木马,因为需要绕过防火墙的原因所以对要执行的代码进行base64形式的编码,将生成的木马放到web网站的主目录下面
“百度杯”CTF比赛 十月场 -------Login
大方子
08-01 3318
============================================================= 个人收获: 1.多观察网页的源代码 2.多留意http的访问信息 3.多留意http头参数的变化 4.收获了unserialize,gzuncompress参数的认识 ================================================...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值