web刷题
文章平均质量分 68
xunran05
梦不停,路不尽。
展开
-
web刷题总结4
涉及php函数的运用与命令执行[SWPUCTF 2021 新生赛]jicao[SWPUCTF 2021 新生赛]easy_md5md5不能对数组加密,传入数组返回值均为null或传入MD5加密后开头为0e的科学计数法。[SWPUCTF 2021 新生赛]include[SWPUCTF 2021 新生赛]easy_sql字符型注入1.先判断注入类型2.再判断字段数3.尝试注入3.查数据库,表名,列名,数据注入成功[SWPUCTF 2021 新生赛]easyrce。原创 2024-04-15 18:28:00 · 433 阅读 · 1 评论 -
web刷题总结3
web79php函数str_replace区分大小写,本题只对小写替换web80用另一种playload绕过替换web81连:都替换掉了常见playload无法使用日志注入漏洞+文件包含确认日志路径植入一句话木马用中国蚁剑连接url/?file=日志注入路径连接密码:1234。原创 2024-04-07 21:17:23 · 729 阅读 · 0 评论 -
本周知识总结及刷题小结2
1.反弹shell:把自己主机的控制权拿给别人nc -e cmd ip+端口2.防火墙:遵循出站宽松,进站严格;涉及反向连接与正向连接,主要要分清楚参照对象;##ping:虚拟机下可查看本机ip;ipconfig:windows下查看本机IP。3.漏洞用可执行命令把nc下载到对方电脑中,用反弹shell,把对方的控制权拿到本机来操作。4.内网能连接到外网端口,而外网无法精准对应到内网端口,内网端口的IP地址不具有唯一性。原创 2024-03-31 18:48:11 · 877 阅读 · 1 评论 -
web刷题及学习小结1
本周知识点和常用playload以及参考博客1.url详细格式2.http请求——referer3.简单浏览器console命令执行4.文件包含4.2日志注入参考详细博客5.命令执行部分知识点5.2通配符参考博客6.sql注入判断字符型与整型详解参考博客6.2堆叠注入web1本题重在感知不同类型判断与多种解法技巧参考博客。原创 2024-03-23 15:03:29 · 664 阅读 · 0 评论 -
ctfshow web 21-28 爆破合集
本节完,萌新写题,本篇仅作个人学习参考,如有错误望指正,涉及部分可能参考其他作者未来得及表明出处望见谅。本题可写本地php代码,或bp中新模块缩小爆破范围,详见下图。基本原理和详细操作见下,同web23一样本地跑php代码。本题php原理还不太懂,详细解法见其他大佬。原创 2024-03-16 20:15:59 · 261 阅读 · 0 评论 -
ctfshow web 1-20 信息收集合集
此篇完,本篇仅作个人学习,如有错误望指正,涉及部分参考其他作者未来得及表明出处望见谅。1.右键查看源代码,或者view-source:URL。本题题解类web7,另一个版本控制URL+.svn。本题与web7、web8类题,具体原理见下图。本题涉及php源码泄露.index.phps。本题只能view-source:url。:条件socre>100,具体见下图。本题源码:URL+WWW.ZIP。抓包发现flag隐藏在里面。注意提交密码下抓包才能成功。题解:URL+/.GIT。本题有域名查询工具即可。原创 2024-03-10 13:35:29 · 277 阅读 · 1 评论