- 博客(5)
- 收藏
- 关注
RSS订阅原创 CTF从零到一 SQL注入-2
看到题目是一个系统,尝试输入值。返回账号不存在。尝试输入admin发现是有这个值的,然后就没有头绪了,查看源代码发现提示。根据提示开启mysql错误提示,并使用burp发包。因为是报错,所以自然想到书上的报错注入并尝试使用。name=admin'+or+updatexml(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_sche...
2021-09-15 20:18:06
391
1
原创 CTF从零到一 SQL注入-1
看到id=1 首先要判断是字符型还是数字型注入根据书上方法判断数字型id=3-2返回页面与id=1的页面不同,说明不是数字型加入单引号判断是否为字符型id=1%27(这里'被转译成%27)没有任何返回,说明有错误,存在注入。接下来使用order by 判断表的列数。id=1' order by 3 --+ (空格为%20 --+注释后面的语句)显示正常id=1' order by 4 --+说明一共有三列接着我们使用un...
2021-09-14 21:05:19
1758
2
原创 攻防世界 web 新手练习
目录1.view_source2.robots3.backup4.cookie5.disabled_button6.weak_auth7.simple_php8.get_post9.xff_referer10.webshell11.commadn_execution12.simple_js1.view_source除去右键查看源代码,还可以使用F12和网页的工具栏-更多工具-开发人员工具中查看使用F12看到flag2.robo...
2021-09-08 20:53:15
189
1
原创 CTF从零到一 信息收集 粗心的小李
看到题目,很明显的说了git泄露使用scrabble./scrabble http://127.0.0.1/ ls查看cat查看index.html发现flag
2021-09-07 22:11:10
334
原创 CTF从零到一 信息收集 常见的搜集
看到题目,首先就想使用工具dirsearch扫描有什么目录python dirsearch.py -e * -u http://127.0.0.1发现很多目录,我们一个一个尝试,首先最明显的就是robots.txt了,查看发现第一段flag接着,通过学习我们知道在linux下使用gedit编辑器保存后会在当前目录生成一个后缀为~的文件刚好有一个index.php~直接使用浏览器访问这个文件,发现第二段flag接着就剩下.DS_Store 与 .index....
2021-09-07 20:58:47
625
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人