- 博客(8)
- 收藏
- 关注
RSS订阅原创 安恒杯学到的新姿势
新闻搜索 考点:POST注入 工具:BP、sqlmap 本题考查POST注入,一般的注入是GET型的,当用POST表单传参数的时候就不能起效,此时需要进行POST注入。 而在本题中,通过截取请求包,然后利用sqlmap命令sqlmap -r 文件名 -D news --dump,news是本题中的数据库名。 即可完成注入。 常规操作 考点:文件上传、phar://漏洞 打开页面之后发现: 提示了...
2019-09-13 16:22:39
348
原创 攻防世界WEB题目解析
ics-05-攻防世界 链接:http://111.198.29.45:50775 考点:文件包含漏洞、preg_replace()函数/e漏洞 1、点击左侧栏,存在index.php页面,查看源代码发现herf=?page=index,判断存在文件包含漏洞。 LFI漏洞的黑盒判断方法:单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文...
2019-08-29 20:33:36
1456
原创 WEB注入类题目解析
后台登陆-实验吧 链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 考点:利用MD5注入sql语句,绕过对关键字(or)的过滤 查看源代码发现: 其实链接中的ffifdyop的MD5值就是我们可以满足绕过的hash值:276f722736c95d99e921722cf9ed621c。是十六进制表示的,decode之后是’or’6,or之后...
2019-08-01 18:13:42
419
原创 Bugku 成绩单-有感
这是一个简单的数据库注入题目 题目地址http://123.206.87.240:8002/chengjidan/ 因为个人是个小白,看到题目毫无头绪。在网上搜到wp,参考着得以理解。 这个题目需要手动爆破数据库的 库名、表名、列名、内容。 库名 用数据库联合查询语句: id=-1’ union select 1,2,3,database()#得到数据库名字skctf_flag 表名 id=-1...
2018-11-30 16:00:47
212
原创 web入门小题(4)
第四次任务 题目一 名称:LOCALHOST 题目地址:http://web.jarvisoj.com:32774/ 考点:伪造IP 思路与解题流程:题目要求local host才能访问,故需要构造ip为本地地址localhost:127.0.0.1,可利用火狐插件进行构造。即得flag。 Flag:PCTF{X_F0rw4rd_F0R_is_not_s3cuRe} 题目二 题目名称:上传绕过 题...
2018-11-06 19:35:15
135
原创 web入门小题(3)
第三次任务 题目一 名称:JSFUCK 题目地址:http://123.206.87.240:8002/web5/ 考点: JS加密 思路与解题流程:打开链接在源码中发现疑似JS加密的大堆字符,复制到console运行,得到flag。 Flag: ctf{whatfk} 题目二 题目名称:Login 题目描述:需要密码才能获得flag哦。 题目地址:http://web.jarvisoj.com...
2018-10-28 23:31:07
389
原创 web入门小题(2)
第二次任务 题目一 名称:AAencode 题目描述:javascript aaencode 题目地址:http://chinalover.sinaapp.com/web20/aaencode.txt 考点: js加密,网页编码方式 思路与解题流程: 打开网页,显示乱码,通过把页面信息包存为.txt文件,可以得到表情密文 ,把密文放到浏览器控制台发现报错,脑洞打开,删掉第一个字符解密成功(不明...
2018-10-25 18:31:57
278
原创 web入门小题(1)
第一次任务WP 2018-10-12 题目一 名称:web2 题目描述:听说聪明的人都能找到答案 题目链接:http://120.24.86.145:8002/web2/ 考点:对浏览器自带工具的利用,通过利用浏览器的功能查看页面源码 思路与解题流程: 个人认为本题目只是在考对浏览器自带工具的使用,通...
2018-10-12 20:21:57
241
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人