CTF题目
自己佛系做题做的笔记 可能做得不好请多指教
MR.QQQQIU
carpe diem
展开
-
N1BOOK第六关摸鱼:[第一章 web入门]SQL注入-2
BUUCTF:[第一章 web入门]SQL注入-2打开题目,寻找解题线索开始解题得到回显开始注入题目原理打开题目,寻找解题线索 直接打开链接页面如下,我们按提示分别访问/login.php 和 /user.php 去看看 进入页面后习惯性地查看源代码发现有一行注释提示,告诉我们:可以在url后加入?tips=1 开启mysql错误提示,使用burp发包就可以看到啦 另一个页面则就只有一行 login first开始解题得到回显 此时我们打开burp进行抓包(没有安装burp的兄原创 2020-12-04 00:42:46 · 3912 阅读 · 1 评论 -
N1BOOK第五关摸鱼:[第一章 web入门]afr_2
BUUCTF:[[第一章 web入门]afr_2打开页面,寻找解题线索查看目录并进行目录穿越查看img目录进行目录穿越拿到flag原理Nginx错误配置产生穿越漏洞打开页面,寻找解题线索 页面里只有一个hello和一个gif图片,习惯性地打开源代码看看。 发现这边的gif图片在img文件夹中查看目录并进行目录穿越查看img目录 在url后面输入/img,成功查看img目录进行目录穿越 在原来的url后面加上img../ 然后我们就进入到了根目录下,在最下方有一个名为flag的原创 2020-12-02 11:29:54 · 1987 阅读 · 0 评论 -
N1BOOK第四关摸鱼:[第一章 web入门]afr_1
BUUCTF:[第一章 web入门]afr_1寻找考点构造解题payload解码base64编码得到flag关于php伪协议寻找考点 由题目我们可以得知本题考点是php伪协议(其实知道是文件读取漏洞也不知道会用到php://filter的伪协议来读取源码的文件构造解题payload php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。下面我们构造url,下面是通用格式http://127.0.0.1/cmd.php?file=ph原创 2020-12-02 01:09:01 · 2622 阅读 · 2 评论 -
N1BOOK第三关摸鱼:[第一章 web入门]SQL注入-1
BUUCTF:[第一章 web入门]SQL注入-1寻找注入点尝试注入测试有几个回显开始查库查表查字段flag寻找注入点 由域名和题目的名字可以知道咱们这道题需要尝试对它进行SQL注入http://554314db-43b4-4f9d-b9bb-b6089db353a1.node3.buuoj.cn/index.php?id=1?id=1’ and 1=2 页面出现错误,说明存在注入点 id尝试注入测试有几个回显?id=1’ order by3 --+ 页面正常?id=1’ order原创 2020-11-30 11:08:50 · 3178 阅读 · 0 评论 -
N1BOOK第二关摸鱼:[第一章 web入门]粗心的小李
BUUCTF:[第一章 web入门]粗心的小李在题目中寻找有价值的信息GitHack的下载安装好了该开始用GitHack做题了得到flag在题目中寻找有价值的信息 题目中提示是Git测试,此时我们可以使用GitHack脚本对其进行测试。GitHack的下载安装 下载地址:https://github.com/lijiejie/GitHack 点我也行 在GitHub上下载源码的压缩包后解压即可使用 需要使用python2的版本才能正常运行,使用cmd进入到文件夹的路径中 如果要原创 2020-11-30 10:22:22 · 3978 阅读 · 2 评论