BUUCTF之Web
酥酥~
不更新就是摆烂了
展开
-
[ACTF2020 新生赛]Upload 1
[ACTF2020 新生赛]Upload 1原创 2022-09-29 23:09:40 · 1284 阅读 · 1 评论 -
[极客大挑战 2019]Upload 1
[极客大挑战 2019]Upload1原创 2022-09-29 22:48:36 · 757 阅读 · 0 评论 -
[极客大挑战 2019]Knife 1
[极客大挑战 2019]Knife 1原创 2022-09-29 22:15:44 · 515 阅读 · 0 评论 -
【BUUCTF】[ACTF2020 新生赛]Exec 1
这是一道命令注入题知识点1、命令注入我们要防备其对于一些符号的过滤导致我们不能成功注入,所以我们要多了解一些符号。2、直接分号分隔,一条一条顺序执行3、| 按位或4、|| 逻辑或让||左边是执行错误的,这样它太会执行||右面的(这是计算机的惰性机制,只要前面执行正确了就不会再执行后面的了)5、& 按位与&前面和后面命令都要执行,无论前面真假6、&& 逻辑与如果前面为假,后面的命令就不执行,如果前面为真则再执行后面命令,这样两条命令都会被执行1、进入网原创 2022-05-06 14:25:53 · 1961 阅读 · 1 评论 -
【BUUCTF】[强网杯 2019]随便注 1
这是一个典型的sql注入题目知识点:1、注入点检测2、万能匹配3、暴力获得数据表和其属性4、sql语句的掌握(order by; union select; rename table; alter table…等等)1、进入网站2、看到一个输入框一个提交框,尝试进行数据输入了解大致情况经过尝试我们发现,只有输入1,2时有显示,输入0或者其他时没有显示3、测试是否存在注入and 1=1和and 1=2没有变化在参数后面加单引号,发现错误,可以尝试进行注入4、尝试0‘ or原创 2022-05-06 14:05:34 · 3969 阅读 · 4 评论 -
【BUUCTF】[ACTF2020 新生赛]Include 1
知识点:php://filter伪协议 作用:读取源代码并进行base64编码输出示例:http://xxx.x.x.x?file=php://filter/read=convert.base64-encode/resource=[文件名](针对php文件需要base64编码)参数:resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流 read=<读链的筛选列表>该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。 write=.原创 2022-05-06 13:21:30 · 697 阅读 · 1 评论 -
【BUUCTF】[极客大挑战 2019]EasySQL 1
根据题目可知,这是大概率是一道SQL注入题知识点——万能密码原理:原本查询username = ’username‘,我们要尝试对引号进行闭合,所以当username=1’ or’1’='1时,id = '1’ or ‘1’=‘1’,成功闭合了两边的引号并加上了我们写的语句1、进入网站2、尝试登录3、加单引号,双引号等方法粗略判断是否存在注入4、可以看到存在注入点,而且这是极大可能是一个单引号的字符型注入。尝试单引号相关的万能密码username=1’ or ‘1’=‘1&原创 2022-05-06 09:36:09 · 958 阅读 · 0 评论 -
【BUUCTF】Web之[HCTF 2018]WarmUp 1
1、首先打开题目链接2、因为是php代码审计,所以我们尝试寻找代码。先查看网页源码 这里发现一个注释的php文件3、尝试对source.php进行访问4、出现了php代码,进行代码分析 ① 观察参数file,首先file不能为空,其次要满足是字符串类型 php if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFil.原创 2022-05-02 19:47:39 · 1183 阅读 · 0 评论