- 博客(6)
- 收藏
- 关注
RSS订阅
1原创 2021-8-25:Http(burpsuite改包操作)
Http(burpsuite改包操作)进入题目通览全部页面,没有可疑点,按照惯例先看源码。开始看源码,开始比较粗心,啥都没看到,后来发现原来在这然后有两种做法,一种直接在url里面输入就好了,一种是注意属性οnclick=“return false”,所以这时点击是无效的,那我们手动改成true就可以了。注意这里改只改了用户自己的界面,刷新或者其他人登录是无效的。此时点击“氛围”就可以跳转了。显示很明显,是想要我们抓包修改来源。这里先引用csdn上另一个博客的解说图所以,这个的绕过就是加一个Re
2021-08-25 22:05:39
1216
原创 2021-8-24:白给的Shell
白给的shell——一句话木马题目十分简单就是一句话木马,用菜刀或者蚁剑连接就好。因为只是记录自己的学习过程,对一句话木马就不详细阐释了完工。
2021-08-24 18:45:03
250
原创 2021-08-23
第二天——Ping Ping Ping熟悉的ping,先尝试随便写一个命令payload=1;ls所以是有的,直接cat flag.php试一下空格过滤,尝试几种常见的绕过:cat flag.txtcat${IFS}flag.txtcat$IFS$9flag.txtcat<flag.txtcat<>flag.txt第三个才可以,但又会显示其余几个显示所以还有其余过滤,可以先看一下index.php发现有其余过滤,符号过滤了一大堆,还有flag的贪心匹配
2021-08-23 22:01:58
149
原创 第一天Exec
受同学影响,也开始记录自己的做题经历了。不过是非常短的记录。今天是ACTF2020新生赛的题——Exec打开题目看到是这样,先随便写点东西。F12看到有回显,一开始以为是xss注入,填入字母看看是不是再看到网上说命令注入,ping是需要系统函数命令执行的,尝试一下简单的,ls的要求最低,用这个payload=1&ls是可以的,所以真的有命令注入。关于命令连接操作符参考的dra_p0p3n的文章和号操作符 (&) ‘&’的作用是使命令在后台运行。只要在命令后面跟
2021-08-22 12:48:34
203
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人