2020/9/15
第一题
sql注入,用sqlmap实验,无效,进行手动sql注入,。无效,查看网址index.php,没东西,查看robots.txt,不出意料都没有,。。看wp
wp:一开始有点看不懂。原来是把sql的结果输出在了函数里显示出来,
第二题 题目给出提示,让我们找入侵痕迹,首先查看页面源码,毫无问题,查看index.php看看会不会留下什么东西,没有,查看url发现
id,可能与sql注入有关,这个应该就是痕迹了,入侵者使用sql注入入侵,使用sqlmap,没结果,尝试手动注入看看有无收货,没有,看wp
wp:用bp进行id爆破,之前用御剑应该也能扫出点东西, 以后看url先用御剑扫一遍
第三题
开局一个笑脸,题目无提示,查看页面源码,无异常,另存图片查看,无发现,查看index.txt,无发现,页面源码响应,没有,好,发现页面源码里有个php的字体,打开看看,nice,爆了一堆php代码,。。看不懂,看wp吧
wp:看不懂,先放着,以后再看
第四题
题目你是斗不过我的pc的,好,先打开nmap扫这个网址,扫不出来,看到网页里有sqlstate这个词,用sqlmap试一试,好,扫出来了,进入,爆出一个原始ip,应该都是他设计好让我们发现的,题目应该不止于此,用nmap扫他的ip,扫不出来,看wp
第五题
给我一个压缩包,下载不动,那直接打开文件所在位置查看属性,好吧下好了,解压文件,无后缀名,不知道怎么打开,文件名是数字加代码,怀疑这就是flag,不是,直接打开hbuilder试试,可以查看,javascript代码,看不懂,感觉是乱码,无从下手,看wp
扫一扫
505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
