CTF-web
文章平均质量分 72
weixin_52182264
这个作者很懒,什么都没留下…
展开
-
1.Flask_FileUpload 2.矛盾 3.你必须让他停下 4.game1
1.Flask_FileUpload这个回显的意思查了一下大概是:不同APP下templates目录中同名.html文件造成冲突。我们直接使用cat命令查看flag试试让上传一个jpg文件输出py代码思想是将.py代码包装成jpg文件osos库提供通用的、基本的操作系统交互功能。os库是Python标准库,包含几百个函数分为路径操作、进程管理、环境参数等几类。路径操作:os.path子库,处理文件路径及信息进程管理:启动系统中其他程序 os.system环境参数:获得系统软硬件信息原创 2022-05-10 11:54:03 · 86 阅读 · 0 评论 -
bugku Simple_SSTI_1and 2(SSTI模板注入)
1.Simple_SSTI_12.Simple_SSTI_2输入:http://114.67.175.224:15355/?flag={%%20for%20c%20in%20[].class.base.subclasses()%20%}{%%20if%20c.name%27catch_warnings%27%20%}{{%20c.init.globals[%27__builtins__%27].eval(%22__import__(%27os%27).popen(%27ls%20/app/%27).rea原创 2022-05-10 10:46:07 · 602 阅读 · 0 评论 -
CTF-Web SQL注入
sql注入基本情况了解联合查询注入union报错注入一.sql注入基本信息1. sql注入方式常见的主要分为三种:1. 联合查询注入(union)2. 报错注入3. 盲注(布尔盲注,时间盲注)2.注入点提交方式GET注入提交数据的方式是GET,注入点的位置在GET参数部分。比如有这样的一个链接 http://xxx.com/news.php?id=1 , id 是注入点,一般注入点是url为主。POST注入使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单原创 2022-04-26 17:39:35 · 4257 阅读 · 0 评论 -
CTF-Web 密码口令 XSS
ctfhub-web 密码口令+xss原创 2022-04-23 13:41:52 · 1607 阅读 · 0 评论 -
HTTP报文
HTTP请求与响应报文原创 2022-04-20 22:21:34 · 69 阅读 · 0 评论 -
CTF-Web基础题
CTF-Web基础题原创 2022-04-21 16:11:50 · 6512 阅读 · 0 评论 -
CTFHub- Web 信息泄露
一.目录遍历单纯的一个一个目录的找二.PHPINFOphpinfo可能会泄露项目php版本和服务器变量等信息,安全起见我们需要禁用phpinfo函数,那我们该如何禁用phpinfo函数呢?首先打开php.ini,找到“disable_functions”,没有则新增,修改成以下:disable_functions =phpinfo disable_functions是禁用php函数,多个函数英文逗号分隔禁用:disable_functions =函数1,函数2,函数3,phpinfo这道题只是原创 2022-04-22 21:39:42 · 1683 阅读 · 0 评论