BUUCTF
buuctf刷题wp
Wz0beu-淤青
个人博客地址:http://wz0beu.cn/
展开
-
BUUCTF【极客大挑战2019】EasySQL
登录失败,判断是否存在SQL注入漏洞,输入用户名admin' 密码admin'根据提示可以看出确实存在SQL注入漏洞,在这里我们可以尝试使用万能密码进行登录。这里使用用户名admin 密码'or '1' = '1 登录。打开题目链接,发现是一个登录界面。随便输一个账号密码尝试登录。原创 2023-09-06 10:55:16 · 107 阅读 · 1 评论 -
BUUCTF[极客大挑战 2019]Havefun
在源代码中可以看到需要使用get方式传入cat参数。鼠标右键查看网页源代码。传入之后得到flag。原创 2023-09-06 11:01:51 · 56 阅读 · 1 评论 -
BUUCTF[HCTF 2018]WarmUp
未能发现flag,继续进行php代码审计,发现代码中有一段$_REQUEST['file'],尝试使用get方式传入file,由于不知道ffffllllaaaagggg具体位置,所以可以用 ../../../../../../ 目录穿越的方式进行访问(目录穿越建议6-10个../)发现源代码中有source.php,访问后得到一段php代码。提示flag在ffffllllaaaagggg里面,尝试访问。没有有用的信息,右键查看源代码。代码中发现有hint,继续访问。原创 2023-09-06 12:15:08 · 56 阅读 · 1 评论 -
BUUCTF[ACTF2020 新生赛]Include
php://访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input。file=flag.php,题目提示include,猜测存在文件包含漏洞。其中,php://filter用于读取源码,php://input用于执行php代码。我们可以使用php://filter读取源代码。可利用伪协议php://原创 2023-09-06 16:08:31 · 206 阅读 · 1 评论 -
BUUCTF[ACTF2020 新生赛]Exec
看到目录中有flag,使用命令 127.0.0.1 | cat /flag或者命令127.0.0.1 | tac /flag。尝试查看根目录,ping 127.0.0.1 | ls。需要ping一个地址,首先ping127.0.0.1。继续查看127.0.0.1 | ls /原创 2023-09-07 10:59:08 · 74 阅读 · 1 评论 -
BUUCTF[GXYCTF2019]Ping Ping Ping
分号隔开每条命令,整行命令按照从左到右的顺序执行,彼此之间互不影响,所有的命令都会执行。对于网络管理员和普通用户来说,我们通常用它来测试网络的连通情况,如果无法正常令是检测网络故障的基本工具。尝试直接获取flag.php中的内容,/?(3)根据ping返回的TTL值来判断对方所使用的操作系统及数据包经过路由器数量。(4)因为具备以上功能,ping命令常常被黑客用来进行网络扫描和攻击。可以看出这里已经成功绕过了,但是还是没有发现flag,看一下源码。发现有flag.php(恭喜你距离得到flag又近了一步)原创 2023-09-22 00:34:49 · 195 阅读 · 0 评论