Sea_Sand息禅

题目地址：http://www.shiyanbar.com/ctf/20361、首先，查看网页源代码（Ctrl+U），会发现一段PHP代码：$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";意思就是：用输入经过md5加密后的密码和admin用户名...

打开网页，查看源码，看到<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->说明用户名需要加密之后为0。对于PHP的==号，在使用 == 运算符对两个字符串进行松散比较时，PHP会把类数值的字符串转换为数值进行比较，如果参数是字符串，则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值...

打开网页，测试开始，注入费老大劲，看了大佬的blog才知道怎么干。bp抓包，观察发现cookie中有个source=0，在repeater中修改为source=1，然go一下，出来了一段源代码。$flag = "XXXXXXXXXXXXXXXXXXXXXXX";$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters lo...

也可用bp进行爆破，这里用py脚本。打看网页输入1，显示You are in，输入2，显示You are not in，是个布尔注入。然后看看过滤了什么。sql注入没有过滤：--+、orsql注入过滤：union select、and、order by、空格虽然or没有被当做sql注入处理，但是构造id=1'/**/or/**/1'='1--+时仍然是返回，You are n...

<?php// code by SEC@USTCecho '<html><head><meta http-equiv="charset" content="gbk"></head><body>';$URL = $_SERVER['REQUEST_URI'];//echo 'URL: '.$URL.'&

进去网站显示： 此处告诉我们要干三件事：(1).net framework 版本为9.9(2)告诉服务器我们的地址为英国(3)我们访问站点用的是IE下面我们就抓的包中伪造。1：.net framework为开发和运行在不同平台、不同语言编写的应用程序以及XML Web服务提供了一个平台。.Net framework有公共语言运行库、类库以及ASP.NET组成。ASP.N...

题目：看看响应头打开网站，既然已经提示我们看响应头了，那我们就看看呗(习惯bp，也可直接F12查看) 可以看到，响应头部分有个FLAG，而且有提示：please post what you find with parameter:key所以就将FLAG解码后post，解码之后是：P0ST_THIS_T0_CH4NGE_FL4G:omiFOwSfc所以post：key=omiFO...

题目：啊拉？又是php审计。已经想吐了。hint：ereg()函数有漏洞哩；从小老师就说要用科学的方法来算数。给我们提示：1）ereg()函数漏洞 2）科学计数法viewsource：<?phpif (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_...

看代码：<?phpsession_start(); if (isset ($_GET['password'])) { if ($_GET['password'] == $_SESSION['password']) die ('Flag: '.$flag); else print '<p>Wrong guess.</p...

页面提示，让post username和password，hackbar现在是越来越差劲了，直接用的bp。报错注入来说，也有几个类型，不过这里我用的updatexml，经测试，extractvalue也是可以的。首先，fuzz一下username和password：select、update这些都没有被过滤而这些被过滤，系统识别是sql注入：经测试，=是被SQL注...

题目提示是报错注入，于是就用盲注技巧来注入。这里注入时发现floor，extractvalue，updatexml被吃掉了，用exp可以注入成功。(记住大小写绕过等技巧)1.爆库' or exp(~(select * from(select database())a))#这里最后面的a处可为别的字母，且必须要有可以看到库名为web1。2，爆表' or exp(~(...

题目上说：不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!可以试试，只要是输入的关键字都被过滤了，双写也被过滤掉了。用万能密码发现，or被过滤掉了。这里用到的是admin为：'='，密码为：'='。原理就是用的SQL语句的查询。内部的查询语句：$sql = “select user from flag where user=’\$_POST[‘user’]’ and...

先审计代码：<?phpif (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password can not be your name!</p>'; else i...

打开网页，查看源码， 第二行，showsource的value是0，我们在查看器中将showsource的value值改为1，然后随便输入一个数，可以看到页面出现 意思就是我们输入的PIN的值应该是代码中的那一串数字才会得到flag，于是复制下来输入就拿到flag了。...

打开链接是一大串符号，是js编码的一种，全部复制下来，粘贴在控制台中回车就拿到flag了。

看url中有id=1，明显的sql注入，这里使用手工注入不适用sqlmap，想用的话参考文章（传送门）1.首先测试有没有sql注入漏洞，http://ctf5.shiyanbar.com/8/index.php?id=1 and 1=1    返回正常http://ctf5.shiyanbar.com/8/index.php?id=1 and 1=2   返回不正常说明存在sql注...

打开网页，查看源代码，好像发现了管理员邮箱而且还是用vim编辑的。我们提交一下这个邮箱，虽然提交成功了，但好像并没什么用。我们随便提交一个，会弹出看来好像还有个step2呢，我们查看源代码（在这只能用输入view-source:的方式），发现还有个submit.php于是我们再查看supmit.php，发现：题做这里貌似突破点就是submit.php，但...

页面显示：到底过滤了什么东西？所以我们先试试到底是过滤了什么1 显示正常1' 不正常（直接输入的关键字均会被过滤）1 union select 显示：1 select1 union select table_name 显示：1 table_name1 unionunion select 显示：1 unionselect1 unionunion select table...

随便上传一个png文件，出现提示我们再上传一个php文件，却出现提示上传遇到问题是肯定的，题目就是上传绕过，所以我们下面要做的就是绕过检测。这里使用00截断。首先在提交时抓包我们将图中upload/后面加上：123.php+将上面添加的php后面的加号的hex改为00然后go一下就拿到flag了原理剖析：代码应该是这样的：<% p...

有关一些http头，参考：https://blog.csdn.net/zz_Caleb/article/details/84147066打开链接：点击view source看到一段代码&lt;?phpfunction GetIP(){if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"];e...

看题目好像就有让我们抓包的意思。不管输什么走势一个结果：Check Failed!也用bp爆破了，但是出不来什么结果。抓到包后，送到repeater中go一下，发现有一串base64码，以为解码后就是正确的输入数据，谁知道不用转换就行。于是传递该base64编码，就拿到flag了。...

输入union select、order by这些关键字会提示SQLi detected! 说明对于关键字有防护输入1 union也会提示SQLi detected! 但是如果去掉空格：1union，则会返回正常，1'and'1'='1（无空格）也返回正常所以可能是过滤了空格。于是用/**/ 或++代替掉空格。1'/**/union/**/select/**/table_name/...

本题相关函数：https://blog.csdn.net/zz_Caleb/article/details/88742009响应头中有6c525af4059b4fe7d8c33a.txt，访问得源码：<?php$info = ""; $req = [];$flag="xxxxxxxxxx";ini_set("display_error", false); error...