ctf
so_sooo
这个作者很懒,什么都没留下…
展开
-
实验吧 web题--代码审计类
1、因缺思汀的绕过原创 2017-09-06 10:14:34 · 1734 阅读 · 0 评论 -
SQL注入检测绕过
1.大小写绕过例如:拦截union。我们可以使用Union或UNion等方式绕过。2.编码绕过同样假设WAF检测关键字union,可以用U的16进制编码%55来代替U,组合成%55nion来尝试绕过。结合大小写也可以绕过WAF。3.注释绕过适用于WAF只阻断一次危险语句,而没有阻断整个查询。我们可以在过滤语句前加注释,使其过滤掉注释中的关键字。比如WAF过滤union和se...原创 2019-09-22 15:21:35 · 723 阅读 · 0 评论 -
攻防世界-- web新手练习区-- writeup汇总
一篇帖子包含所有题目。第一题-- view_source题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。第二题-- get_post题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST.第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....原创 2019-09-22 17:27:44 · 2443 阅读 · 0 评论 -
攻防世界-- web高手进阶区-- writeup汇总
随做随记,争取记录详细思路,以供后续反思。第一题-- cat按照提示输入loli.club,没有任何回显。输入baidu.com也没有任何回显。再次尝试输入127.0.0.1,出现:可知,submit其实是ping命令,而且好像只对ip地址起作用。尝试运行系统命令:失败。输入127.0.0.1 | ls 同样失败。但是发现URL编码可以传入。当输入到%80时,出现报错信息,...原创 2019-09-22 18:18:14 · 6317 阅读 · 0 评论