Code_Aape的博客

Bugku web25 Writeup题目描述hint:SQL约束攻击分析题目提示写得很清楚了，用到的是SQL约束攻击尝试解题先随便注册一个账号，然后尝试登陆看看他说啥：那么就意味着，只要你是以admin账户登陆的，他就会给flag。既然已经都给了SQL约束攻击的提示了，就不尝试弱口令爆破了，毕竟这玩意儿挺费时间的。这里就需要用到SQL约束攻击来以任意身份登陆管理员。那么这个SQL约束攻击是个啥呢？原理百度了大佬的讲解：[基于约束的SQL攻击 - FreeBuf网络安全行业门户

Bugku web19 writeup题目描述速度要快！打开网页只有一句话：我感觉你得快点!!!分析和上一道秋名山一样，又是GKD的题，是不是又要用脚本做啊尝试1国际惯例先按F12，html代码注释里面有一句（OK ,now you have to post the margin what you find）。margin，难道是CSS的margin吗果然没那么简单，用hackbar试着postmargin=8：页面：我都说了让你快点。。。我感觉你得快点!!!试着post其他margin

Bugku web1 Writeup题目描述秋名山车神亲请在2s内计算老司机的车速是多少1418005443629560789-15192333921175548399-2093405283-12328199721369963596+21310695541983217943*1732954684+1645835278=?;分析秋名山车神，2s内所以就是个快字，那我慢慢计算不行嘛？尝试刷新网页，果然表达式在变…多刷几次，发现偶尔会出现这样的：Give me value post

bugku_web16题目描述：备份是个好东西解题从描述中知道从备份中去获取源代码访问：url/index.php.bak获取到源代码：<?php/** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22 */include_once "flag.php";ini_set("display_errors", 0);$str = strstr($_SERVER['REQUEST_URI'

CTF新手区 aconmand_execution原理【管道符】Windows或Linux下的命令行：命令1 && 命令2：先执行命令1，如果为真，再执行命令2命令1 || 命令2：先执行命令1，如果为假，再执行命令2命令1 & 命令2：先执行命令2 ，后执行命令1命令1 | 命令2：只执行命令2【find&cat命令】过程输入一个地址“127.0.0.1”，ping一下：可以看到下面的信息，联想到是否可以用管道符执行命令搜索flag的位置127.0.