web学习之ctf
web方向学习
upload_drop
这个作者很懒,什么都没留下…
展开
-
webctf09Day主要学习了下SQL注入 例题bugweb 多次
我要成为web????数据库查询语言!sql注入是 用户提交的语句被数据库执行了!–也是是注释符1.多次 打开题目什么也没有呀!看url里有个id试一试1/2/3/4。。。发现有提示You can do some SQL injection in here.SQL注入?这怎么注入呢?先是报错注入个人理解是利用报错点,来进行注入,也就是实现数据库功能!这个题我先试了试:id=1’是报错id=1‘’是对的用#(%23)...原创 2020-05-22 00:00:14 · 142 阅读 · 0 评论 -
webctf08Day
我要成为web????1.INSERT INTO注入XFF时间注入error_reporting(0);function getIp(){$ip = '';if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];}else{$ip = $_SERVER['REMOTE_ADDR'];}$ip_arr = e...原创 2020-05-20 21:44:17 · 93 阅读 · 0 评论 -
webctf07Day
我要成为web????你从哪里来HTTP请求报文:他说要从谷歌来:可以bp抓包:更改一下请求头的内容就可以实现了:具体的:http请求头里的键值对是也就是请求头里每个key对应的功能!这个题用到 referer:该页面的来源URL那我们就可以直接bp抓包,再修改,最后获取响应!这个题好像在攻防世界做过!2.md5 collision(NUPT_CTF)md5 collision(md5碰撞)这英语不...原创 2020-05-19 21:30:03 · 258 阅读 · 0 评论 -
webctf06Day
1.字符?正则?看题目应该是考正则表达式 <?php highlight_file('2.php');$key='KEY{********************************}';$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);if( $IM ){ die('key is: '.$key);}?> 1.preg_ma原创 2020-05-18 21:46:57 · 176 阅读 · 0 评论 -
web学习05Day
我要成为web????welcome to bugkuctf这个题很不错不多说还是大佬文章我现在只能跟着大佬走BUGKU welcome to bugkuctf考点:1 php的代码审计,2 php的伪协议,3 php的序列化,4 php魔术方法。有时候php代码看不懂:php代码查询地址一 。。代码审计完后:1.isset — 检测变量是否已设置并且非 NULL也就是变量有没有值(...原创 2020-05-18 17:04:52 · 484 阅读 · 0 评论 -
web bugku04Day
(1)post请求快速反弹大佬博客web里快速反弹 POST 请求大佬博客web里快速反弹 POST 请求2import reimport requests s = requests.Session()r = s.get("http://123.206.87.240:8002/qiumingshan/")searchObj = re.search(r'^<div>(.*)=\?;</div>$', r.text, re.M | re.S)d = { "va原创 2020-05-16 21:18:52 · 120 阅读 · 0 评论 -
web学习0203day bugku web
我要成为web????(1)f12view-source:【Ctrl+u】直接强制查看源代码(2)html考点(3)get请求(4)post请求(5)num不是数字又要==1弱命令 用字符串绕过(6)html字符实体化 。html用的是Unicode编码HTML 中规定了 Character entity references,也就是通常我们说得 html实体字符,一些字符在 HTML 中拥有特殊的含义,比如小于号 (<...原创 2020-05-14 20:58:14 · 188 阅读 · 0 评论 -
web学习01day攻防世界web简单题
我要成为web????先刷题找感觉中(1)题目:simple_php题目解析:php漏洞与get请求get/post请求传参方式get/post(2) 用hackbar的get/post两种请求方式的题目:get_post(3)查看网页源代码view_source;(4)robotsrobots协议robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查...原创 2020-05-12 23:05:37 · 305 阅读 · 0 评论