fjyyyyy7的博客

原创 SQL注入笔记

原创 ctfshow SQL注入练习

and的优先级高于or，需要同时满足两边的条件才会返回true，那么后面可以接一个or，or的两边有一个为true，既可以满足and。有过滤的字符型注入，和上上题差不多，增加了对 %09 %0a %0b %0d 的过滤，%0c 可以用。有过滤的字符型注入，相比上题增加了对 #(%23) 的过滤，这里使用 --(–后加个空格) 绕过。先用上一题的payload打一下试试，密码栏出现的不是flag而是 not_here，过滤了空格(%20)，可以使用%09 、/**/、%0c。通过二分法逐渐缩小范围直至确定。

原创 sqli-labs第1~16关

再来判断是否大于120，我们可以看到页面没有回显说明不大与120，那么目前为止我们可以确定这个值就在110-120之间，之后我们再进行二分法查找，之道最终查找到确定值。因为然后输入id=1’–+时报错，这时候我们可以输入id=1’)–+发现依然报错，再试试是不是双括号输入id=1’))–+，所以判断出使用单引号和双括号进行闭合的。如果页面一直不变这个时候我们可以使用时间注入。来到页面，我们发现和第五关一样有报错回显，但是没有数据回显的情况，所以这一关同样使用报错函数来进行注入,与第五关相同。

原创 信息搜集思维导图

原创 敏感信息泄露20道题

由题目可知是要访问压缩包，所以直接访问/www.zip，即可下载源码压缩包,其中因为网站的文件都放在www下面，所以直接访问/www.zip就可以得到网页的源码压缩包。拼接URL /admin跳转到登录页面，点击忘记密码，会提问是哪个地区的，在主页下面可以发现QQ邮箱，通过QQ邮箱发现是西安，返回忘记密码输入后会重置密码。登陆页面提交时抓包，发送给重发器，修改密钥发送后得到flag。拼接index.php,下载查看缓存文件，打开得到flag。F12查看cookie，得到flag。

原创 对一家企业进行信息搜集

小米科技有限责任公司。

原创 PHP开发web网站

设计的留言板网站包含以下几个部分1.登录页面：使用已有账号密码进行登录成功进入留言板页面。2.注册页面：注册用户账号及密码。3.留言板页面：留言输入框、留言提交按钮、留言列表。首先实现效果图如下登陆页面输入错误或未注册的账户密码时，显示弹窗进行注册成功注册后，出现弹窗之后我们用注册的账号密码，登录进入到留言板页面我们填写内容后点击“提交留言”，就会在留言列表显示下面展示了留言板网站的所有实现代码。