![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
CTF安全实验室Web
平时做题时积累的知识点和做题思路
Most3R-03
苔花如米小,也学牡丹开。
展开
-
xctf中command_execution
观察题目,对于看到ping或者ping命令却没有弄waf时就要想到命令注入。看到ping命令就可以利用截断来执行新的命令。首先测试所有的截断符号:‘$’‘;’‘|’‘-’‘(’‘)’‘反引号’‘||’‘&&’‘&’‘}’‘{’'%0a’可以当作空格来用;利用截断符号配合普通命令简单问题基本就出来;例如:127.0.0.1;cat /hom...原创 2020-01-28 12:13:49 · 298 阅读 · 0 评论 -
xctf中webshell
这里一句话木马已经上传了我们选择用菜刀来访问,菜刀可以去ctf工具下载。右键,添加,然后把地址输入进去,类型选择php,添加然后双击进入添加的,查看文件有flag,选择双击,flag出现,...原创 2020-01-28 12:07:32 · 375 阅读 · 0 评论 -
web中xff与referer
web中xff与refererXFF字段X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式:X-Forwarded-For: client1, proxy1, proxy2, proxy3左边第一个是浏览器IP,依次往右为第一个代理服务器IP,第二个,第...转载 2020-01-28 11:07:39 · 1766 阅读 · 0 评论