- 博客(6)
- 收藏
- 关注
RSS订阅原创 XCTF-Web_php_unserialize
题目题目如下可以看出来这是一道关于反序列化的题目分析题目看一下题目的代码首先判断GET参数 “var” 是否存在,然后通过base64解码传入变量var,如果不存在就输出网页源码对var进行一个正则过滤,如果通过正则过滤便会进行反序列化,否则响应信息’stop hacking!’题目中出现的魔术方法题目中存在一个demo类__contrust()见名知意,构造方法。具有构造方法的类会在每次创建新对象前调用此方法 ,该方法常用于完成一些初始化工作。__destruct()析构方
2020-08-14 20:36:36
437
原创 XCTF-supersqli
XCTF-supersqli题目描述随便注打开链接,查看源码判断是否存在sql注入漏洞判断注入漏洞的类型数字型判断字符型判断获取列数尝试联合查询堆叠注入绕过过滤查询flag题目描述随便注打开链接,查看源码看来没办法使用sqlmap了,采用手注⑧判断是否存在sql注入漏洞最为经典的一种判断方法是单引号判断法即在参数后面加上单引号,如下http://220.249.52.133:53805/?inject=1'如果页面返回错误,则存在sql注入原因是字符型或者是整型都会因为单引号个数不
2020-08-06 21:49:34
347
原创 XCTF-unserialize3
XCTF-unserialize3看到题目知道考察的是序列化与反序列化的知识下面是一个示例然后我们需要了解魔法方法__wakeup()看题传入序列化后的字符串利用__wakeup()漏洞看到题目知道考察的是序列化与反序列化的知识序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。下面是一个示例<?php class test { public $flag = "flag{xct
2020-08-04 20:52:46
372
原创 XCTF-Training-WWW-Robots
XCTF-Training-WWW-Robots从题目就可以知道这道题考察的是robots协议什么是robots协议访问robots.txt找到存放flag的目录-fl0g.php从题目就可以知道这道题考察的是robots协议打开链接什么是robots协议robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的U
2020-08-04 19:34:53
320
原创 XCTF-baby_web
XCTF-baby_web查看题目描述打开链接,跳转到1.php输入index.php后发现跳转到1.php使用dirsearch扫描没有其他地址F12查看index.php的响应包,找到了flag查看题目描述想想初始页面是哪个打开链接,跳转到1.php根据题目推测需要转到index.php输入index.php后发现跳转到1.php使用dirsearch扫描没有其他地址F12查看index.php的响应包,找到了flag...
2020-08-04 19:24:56
322
1
原创 XCTF-command_execution
XCTF-command_execution题目介绍打开题目场景打开hackbar,查找有无与flag相关的文件发现在home目录下有flag.txt文件使用cat指令查看得到flag题目介绍看到ping或者ping命令却没有弄waf时就要想到命令注入打开题目场景使用hackbar进行POST注入打开hackbar,查找有无与flag相关的文件发现在home目录下有flag.txt文件使用cat指令查看得到flag然后就得到flag辣...
2020-08-01 20:42:44
258
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人