- 博客(9)
- 收藏
- 关注
RSS订阅原创 [强网杯 2019]随便注 1
进入环境先判断是否存在,1' or 1=1#说明存在,接下来看看它的字段列1' order by 1 # 1' order by 2 # 1' order by 3 # 执行1’ order by 3 # 出现错误,说明两列查看它的数据库名,发现有俩0' ;show tables;#接下来我们看看word和另一个表里有没有我们想要的0'; show columns from words; #0'; show columns from `1919810931114514
2021-06-23 22:13:46
84
原创 [极客大挑战 2019]Http 1
进入环境是很简单的一个广告页面,从表面看是看不出任何信息的,我们这时候看看控制台找找信息。在最下面的广告信息中我们找到了Secret.php这个页面,进去看看提示来源应该是https://www.Sycsecret.com,这时候就可以用burp suite抓包修改header了,或者大家有浏览器装插件也可以直接修改。打开header添加Referer,让他的来源是https://www.Sycsecret.com放包发送后它又提示让你使用Syclover浏览器,我们就又需要修改它的Ag
2021-06-22 10:47:04
105
原创 [极客大挑战 2019]Knife 1
进入环境eval($_POST["Syc"]);啊这一看就是PHP一句话木马,key是Syc,所以我们只要找到PHP网站就可以了,他这边提示菜刀,我就试了一试caidao.php knife.php 结果都是404但是大部分网站都有index.php,我就试了试这个,是存在的找到注入点了,我用蚁剑但是不知道为啥连不上,只能下载了菜刀去连,成功后在根目录找到了 flag总结一下这个题总的来说考察的比较简单,但是还是要小结一下一句话木马的格式 <?php @eval($_POS
2021-06-17 20:37:47
98
1
原创 [GXYCTF2019]Ping Ping Ping
这道题和上一道比较类似啊也是ping的题目进入环境也没有文本框输入啥的,打开控制台看看也是没有什么有用的信息,从题目的意思看来应该是我们可以从url的链接入手。有回显,我们可以试试执行语句输入ls,我们可以看到flag.php和index.php 我们试试直接打开flagemmm,过滤掉了空格啊,可以试试绕过注入空格绕过${IFS}替换$IFS$1替换${IFS替换%20替换<和<>重定向符替换%09替换挨着试了试,发现都不行。但是在第二种的时候出现的
2021-06-16 21:28:01
93
原创 [ACTF2020 新生赛]Exec 1
进入环境ping一波127.0.0.1利用常见管道符直接执行命令 |cat /flag1、|(就是按位或),直接执行|后面的语句2、||(就是逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句3、&(就是按位与),&前面和后面命令都要执行,无论前面真假4、&&(就是逻辑与),如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令常见的命令执行漏洞可以去看看相关博客...
2021-06-16 19:42:55
141
原创 [极客大挑战 2019]Havefun 1
打开发现就是一个猫,也没有任何提示,我们直接打开控制台看看源码嗯,发现了一波可疑的代码啊如果cat=dog就输出{…},这个格式也太像flag了,我们直接?cat=dog简简单单
2021-06-16 16:50:48
50
原创 [极客大挑战 2019]EasySQL 1
**进入靶场环境***随便输入几个账号密码加个单引号看看能不能找到什么有用的信息发现报错可以发现是字符类的注入,我们可以通过万能密码登录进去。/check.php?username=admin’or’1’=‘1&password=admin’or’1’=‘1也可以直接在账号密码后加’or’1’='1,这样就拿到我们的Flag了...
2021-06-16 16:33:20
118
原创 关于社工示例
emm,之前码的字被和谐了,打第二遍大家好,我是太理的菜鸡易烊千玺。emm,相信很多同学们都收到过诈骗或者是骚扰电话吧,但你有没有好奇他是怎么知道你的姓名和手机号码的呢?你的信息到底是什么时候泄露的呢??很懵吧,除了网站后台数据库管理没有做好导致用户的数据被泄露出去、黑客数据盗窃之外,个人社工也是可以把你的信息套到手的。一个简简单单的电话号码其实远比你想到的信息多很多。这个应该是最简单的社工,也是思路最直接了当的,门槛很低。(被我当小白鼠社工的是我朋友栋儿哈哈哈)接下来给大家讲讲怎么做到的呢?在
2021-06-06 02:26:05
1774
1
原创 对WEB中URL和HTTP的基础认识
小白对WEB中URL和HTTP的基础认识作为一个初学者来浅谈一下我对WEB通信的认识,希望各位大佬来指教一下!URL首先是我对URL的认识URL:统一资源定位符 (Uniform Resource Locator) 其支持多种协议:HTTP\FTP…URL的作用:定位服务器的资源(就像买东西一样,URL相当于收货地址)URL格式:schema://host[:port#]/path/…/[?query-string][#anchor]schema为底层协议(https、http)host
2021-05-31 23:02:33
269
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人