- 博客(13)
- 收藏
- 关注
RSS订阅原创 BUUCTF-web
上周学长刚刚讲过代码审计,我发现有一些代码审计题型,就拿来做一下WarmUp(代码审计)1.打开靶场,发现2.F12控制台打开,发现3.其中里面有4.使用php语言打开其内容http://856cbf54-b602-4f72-856c-a87dc52702b1.node3.buuoj.cn/index.php?file=source.php5.代码函数内容:!empty(REQUEST[′file′])∗∗表示要file变量不为空∗∗isstring(_REQUEST['file'])**
2021-06-16 08:13:12
203
2
原创 BUUCTFweb手之旅
EasySQL:1.首先看到这个先想到的肯定是学长们之前讲过的万能密码但是得到结果是2.检查原因是输入的万能密码错误我们可以使用语句username=admin’or’1’=‘1&password=admin’or’1’='1得到flagHavefun:1.打开环境发现全是静态链接2.F12打开控制台查看源码发现可疑代码3.这是一个PHP代码,我们以GET传参cat,直接输出cat的值,如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat}接着我们使用php语
2021-06-07 19:49:25
272
2
原创 ISCC复现
一.我的折扣是多少题目描述:小c同学去参加音乐会,在官网买票时发现了有提示消息,提供给的有“give_me_discount”的压缩包,好奇的小c下载下来,但却无从下手,为了节省零花钱,你能帮帮他吗?解题1.先打开下载的附件,将里面的give.exe运行得到进行Unicode编码得到2.使用010Editor打开附件中的me.zip3.发现可能是base64编码4.所以压缩包的口令为krwgcc666解压得到进行base64解码5.得到6.进行stego得到ISCC{LFX
2021-05-23 18:17:13
512
原创 布尔盲注
一.布尔盲注原理:布尔盲注一般适用于页面没有回显字段(不支持联合查询),且web页面返回True 或者 false,构造SQL语句,利用and,or等关键字来其后的语句 true 、 false使web页面返回true或者false,从而达到注入的目的来获取信息的一种方法没有错误提示 也没有回显 但是输入错误的话页面会有反应 也就是说 只有 true 和false例如 :sql-labs /less-7 它只有两种提示 所以可以用布尔盲注playload:and length(databas
2021-05-06 17:50:33
3953
原创 Bugku-MISC做题记录
Bugku MISC记录前两天做web抓包抓的实在太无聊了,做点MISC的题目解解压,今天学会了一个新的软件的使用,binwalk或者可以使用foremost,这俩东西是用来分离东西的,如果又kali虚拟机可以不用在物理机上安装,kali自带一.眼见非实1.下载附件打开2.打开附件发现是乱码3.我们尝试更改后缀为txt,发现没啥用4.发现重点 里面还有东西,尝试将文件以压缩包形式打开5.之后发现重点6.打开获得flag得到flag{F1@g}二.啊哒1.下载附件并打开2.查看属性,没
2021-04-18 20:14:20
139
原创 MISC-Wireshark的使用
WiresharkWireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。本期题目:telnet附件是一个压缩包打开即可得到一个流量包,使用今天的新工具Wireshark即可因为提示的是telnet,所以使用规则显示telnet的包,然后追踪tcp流得到flag{d316759c281bf925d600be698a4973d5}ps:
2021-04-06 20:34:32
392
原创 内部赛博客记录
内部赛记录欢迎来到我的博客,娇贵的小公主,这里是我生在的地方,CSDN1.签到题2.web签到题3.ROT(不仅仅是base)4.变形的猪圈密码5.古典密码6.base家族7.不仅仅是MD58.re19.看你认真不认真10.字节中遇见你11.看看你的刷新键是什么?12.Easy欢迎来到我的博客,娇贵的小公主,这里是我生在的地方,CSDN1.签到题签到题是一个图片根据提示打开图片属性即可得到flag2.web签到题看题打开web开发者找到查看器发现可疑代码之后进行base64解码即可3.
2021-03-21 21:01:32
220
原创 BugKu-MISC-隐写
BugKu-MISC-隐写前言一、看题二、解题One.查看图片Two.图片特点总结前言今天再次刷了BugKu的MISC的题目,是关于隐写的,首先介绍使用工具,可以使用winhex,010Eidtor都可以,我还是比较喜欢010的,010操作起来会比winhex方便一些一、看题从网站上可以下载下来一个rar压缩包,解压出一个PNG格式的文件。在windows下打开如下:二、解题One.查看图片先查看图片的基本属性首先要理解一个概念,图片隐写基本上都存在于上面图片标注的地方,这是隐写的最基本
2021-03-14 21:49:41
444
1
原创 BugKu-MISC-这是一张单纯的图片
这是一张单纯的图片今天在学习SQL注入的同时,刷了一下MISC的题目解题这是一张单纯的图片1.第一步2.第二步3.第三步4.第四步5.第五步1.第一步下载附件,下载完之后是一个图片,还挺可爱2.第二步进行常规扫描和信息排查3.第三步常规扫描完成后发现没有特殊的情况,之后尝试用010 Editor打开发现最后又特殊代码4.第四步我们尝试用记事本打开得到最后的乱码开始解题,5.第五步我们发现这些字符与ASCII码十分相似,在网上查找ASCII在线解码,发现不是再观察发现
2021-03-14 11:55:32
191
原创 SQL注入
记录一次纯手工注入练习SQL注入Less-1Less-1这是刚进入·的界面之后判断闭合符号出现报错证明判断完毕,此时需要用注释符号给注释掉即可恢复正常这是输入SQL语法?id=1之后显示出来的数据这是输入SQL语法?id=2之后显示出来的数据这是输入SQL语法?id=3之后显示出来的数据以及输入SQL语法?id=4之后显示出来的数据现在使用order by 语句判断列判断完之后确认只有三列开始联合查询注入得到数据库再进行一下语法union select 1,group_c
2021-03-14 11:35:08
61
原创 BugKu社工-进阶收集
学习目标:MISC的简单学习BugKu社工-进阶收集学习目标:MISC的简单学习1.题目一、提 示: flag{小美小区名字拼音}二、描 述: 小明当年为了追求小美想尽办法获得小美的地址。直到有一天小美发了一条说说,小明觉得希望来了。1.下载其附件2.开始解题总结今天没有学习web,在BugKu上刷了MISC的一些题,发现非常有意思,来介绍一下1.题目一、提 示: flag{小美小区名字拼音}二、描 述: 小明当年为了追求小美想尽办法获得小美的地址。直到有一天小美发了一条说说,小明觉得希望
2021-03-11 20:25:19
1488
1
原创 HTML的学习与制作
HTML的学习与制作B站学习HTML的知识网页的基本结构HTML表单的制作B站学习HTML的知识网页的基本结构首先学习的是HTML的基本框架结构1 <!DOCTYPE html>2 <html>3 <head>4 <title>Title of the document</title>5 </head>6 <body>7 The content of the document......8 </b
2021-01-23 15:06:30
95
原创 数据库MySQL
数据库MySQL文章来源于咱也搞个半小时搞定mysql(9000小时定理+概念化学习现实应用)数据库定义数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。数据库是存放数据的仓库。它的存储空间很大,可以存放百万条、千万条、上亿条数据。但是数据库并不是随意地将数据进行存放,是有一定的规则的,否则查询的效率会很低。当今世界是一个充满着数据的互联网世界,充斥着大量的数据。即这个互联网世界就是数据世界。数据的来源有很多,比如出行记录
2021-01-15 17:58:05
266
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人