![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全
文章平均质量分 61
小野猪都有白菜拱
我可不懒
展开
-
BUUCTF-[ACTF2020 新生赛]Include
转base64,得到flag。原创 2024-04-29 15:17:28 · 123 阅读 · 0 评论 -
ctfshow web78 获取flag(用老版的火狐浏览器)
第一种:利用input伪协议 ,获取到flag。第二种:利用flter协议,获取到flag。第三种:利用data 协议 获取到fag。原创 2024-04-28 20:33:33 · 343 阅读 · 0 评论 -
CISP-PTE 文件包含
2、查看页面源代码,发现data://替换成了空,其余的都在,data://被注释了。5、进入文件管理,找到html目录,找到key,拿到值。1、尝试使用data协议,发现php被过滤掉了。3、双写datdata://a://4、将地址放入蚁剑或菜刀中连接。原创 2024-04-25 14:57:41 · 516 阅读 · 0 评论 -
[ACTF2020 新生赛]Upload--BUUCTF
得到:Upload Success!第二步:使用bp抓上传jpg文件的包,在修改文件后缀名为phtml。第一步:上传php文件,他提示,只能上传jpg、png、gif。第四步:拼接访问,连接蚁剑,找到flag。第三步:进行放过,在访问浏览器。原创 2024-04-24 20:40:39 · 341 阅读 · 1 评论 -
[极客大挑战 2019]Upload--BUUCTF
添加头文件:GIF89a改文件格式为image/jpegcheck。原创 2024-04-24 19:59:15 · 492 阅读 · 0 评论 -
[GXYCTF2019]BabyUpload-BUUTF
他过滤了<?,ph等。原创 2024-04-24 19:08:47 · 443 阅读 · 0 评论 -
upload-labs
完成upload靶场,通过中国蚁剑读取服务器的目录原创 2024-04-18 10:18:00 · 316 阅读 · 2 评论 -
Less-1(sqlmap手工注入攻击)--sqli
在这个表里面我们获得了列名: user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password,level,id,username,password,id,username,password。1' and '1'='1 --+ 正确结果。原创 2024-03-20 21:55:14 · 577 阅读 · 0 评论 -
CTFHUB-web-信息泄漏
题目所在位置:技能树->web->信息泄漏。原创 2024-03-16 14:05:29 · 1027 阅读 · 1 评论 -
CTFHUB-web-http
题:技能树->web->web前置技能->HTTP协议。原创 2024-03-11 21:55:27 · 1032 阅读 · 0 评论 -
Less-1(sqlmap自动注入攻击)--sqli
表明有四种注入漏洞:boolean-based blind,error-based,time-based blind,UNION query。指定用于身份验证的cookie进行注入测试。打开火狐浏览器,进入sqli第一关的页面。尝试获取操作系统级别的shell访问权限。指定POST请求的数据进行注入测试。查看结果发现,可以访问到名字和密码。遇见[y/n]都直接回车跳过,得到。设置测试的深度级别(1-5)设置测试的风险级别(1-3)获取数据库管理系统的信息。获取数据库中表的信息。获取数据库表中的数据。原创 2024-01-28 12:37:30 · 625 阅读 · 0 评论 -
对MuMu模拟器使用BP抓包
详细文件地址查看:打开任务管理器->鼠标右键点击运行MuMu模拟器进行展开->点击鼠标左键打开文件所在位置,进行添加。退出Proxifier,访问MuMu浏览器,打开BP进行抓包。再双击进入Proxification Rule。3.BurpSuite(抓包工具)2.MuMu模拟器(安卓模拟器)1.Proxifier(代理)原创 2024-01-03 20:58:00 · 2008 阅读 · 6 评论