- 博客(6)
- 收藏
- 关注
RSS订阅原创 “百度杯”CTF比赛 十月场 Login
“百度杯”CTF比赛 十月场 Login1进去就是一个长得还可以的登入界面,查看源码没看到注释,以为没有,开始对其进行sql注入测试,在 burp suite多次尝试,没找到注入点与注入语句。返回的结果只有error。// test1 test1 这是藏在源码下方需要下移才看得到的注释;没啥实际意义,两个:可能是账号密码试一下登入成功2返回页面几乎啥也没有,刷新截取报文看看有什...
2020-04-17 15:09:51
1468
原创 “百度杯”CTF比赛 九月场 123
“百度杯”CTF比赛 九月场 123题目内容:12341234,然后就解开了这次题目内容真的就是一点用也没有1 爆破进去就是一个登入界面,看到啥也没想开始尝试注入,直到后来失败多次看了源码:所以写ctf一进来就看源码真的是个好习惯 <!-- 用户信息都在user.php里 --> <!-- 用户默认默认密码为用户名+出生日期 例如:zhangwei19...
2020-04-15 10:18:39
499
原创 “百度杯”CTF比赛 九月场 SQL
“百度杯”CTF比赛 九月场 SQL 常规流程的注入题目内容:出题人就告诉你这是个注入,有种别走!1 注入点直接给出id=?用 or 1=1 和 and 1=2测试结果服务器很耿直的说inj code!看起来是对输入的参数进行了检测,想办法绕过就行了得出结果是在敏感语句中加<>就可以,不过像and和or可以直接换成&&与||2 order by测试字段长...
2020-04-14 12:21:14
685
原创 “百度杯”CTF比赛 九月场 YeserCMS 详细解析
“百度杯”CTF比赛 九月场 YeserCMS 详细解析看题解的,对每个关键步骤做出详细注释题目内容:新的CMS系统,帮忙测测是否有漏洞。1 第一步就是了解这是什么cms百度YeserCMS,没有相关CMS,应该是改了名字。在网站内找一找,没看到哪里有标志信息,一下几种方式可以辨认直接用浏览器搜索cms指纹识别搜索 “手机版 - 购物车 - 留言 - 繁体 - ...
2020-04-14 10:23:23
922
原创 “百度杯”CTF比赛 2017 二月场 爆破1-3
“百度杯”CTF比赛 2017 二月场 爆破1-31题目内容:flag就在某六位变量中。题目给出源码<?phpinclude "flag.php";$a = @$_REQUEST['hello']; //hello为传参点if(!preg_match('/^\w*$/',$a )){ die('ERROR');}eval("var_dump($$a);"); ...
2020-04-10 16:39:43
261
原创 “百度杯”CTF比赛 九月场 upload
“百度杯”CTF比赛 九月场题目内容:想怎么传就怎么传,就是这么任性。tips:flag在flag.php中测试可以上传文件类型.txt .php.js 都可以上传成功说明在上传文件的过程中并无拦截题目中的“想怎么传就怎么传”说的没错构造php脚本既然有提示“tips:flag在flag.php中 ”,故只要可以阅读flag.php的内容即可。<?php// get...
2020-04-10 12:08:34
492
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人