i春秋 12341234,然后就解开了

最新推荐文章于 2025-12-09 14:46:51 发布
原创 最新推荐文章于 2025-12-09 14:46:51 发布 · 382 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web

博客内容涉及了文件上传安全问题,通过源码查看和密码爆破尝试登录,探讨了利用HTML文件指向服务器地址的方法。遇到问题在于修改文件后缀以绕过过滤,尤其是对PHP可替代后缀的理解。此外,还提到了文件变量过滤的情况。

查看源码,点击进去,发现是空白的
在这里插入图片描述
则有可能是文件泄露
在这里插入图片描述
这里进行爆破,知道其中一个正确密码,登录进去
在这里插入图片描述
属于文件上传题型了,可以在本地写一个html文件,指向该地址
在这里插入图片描述
接下来用brup修改文件名,这里我打算连接蚁剑,试了php文件和jpg文件结合也不行,单个jpg文件也不行,看了网上的答案是通过改文件后缀,不理解原因
在这里插入图片描述

php的可替代形式有php3,php4,php5,pht,phtml

最后是这个,file是变量,有过滤
在这里插入图片描述

【美团笔试题汇总】2023-08-12-美团春秋招笔试题-三语言题解(CPP/Python/Java)
春秋招笔试突围
05-04 473
K小姐得到了一个由 111 到 nnn 组成的排列,她想知道排列中是否存在两个指定的数 xxx 和 yyy 相邻。现在请你帮助K小姐判断,给定的 xxx 和 yyy 是否在排列中相邻。第一行包含一个正整数 nnn,表示排列的长度。第二行包含 nnn 个正整数 a1,a2,⋯ ,ana_1, a_2, \cdots, a_na1​,a2​,⋯,an​,表示这个排列。第三行包含两个正整数 xxx 和 yyy,表示需要判断是否相邻的两个数。如果 xxx 和 yyy 在排列中相邻,输出 ,否则输出 。 样例输出
i春秋123
weixin_30652271的博客
08-05 264
打开是个普普通通的登录窗口,下尝试根据提示12341234进行输入,发现不正确。。。可能1234是指步骤,然后查看源码 发现了绿色的提示信息,我们就根据提示试试打开user.php 打开是白板网页,源码也是白板,那就抓包试试 抓包也没找到什么关键信息。。。。那就试试注入吧 没反应。。。。 去看了看wp,发现这是个文件读取漏洞、备份文件的题 根据步骤,直接访问user.p...
i春秋 一些题目
qq_30435981的博客
08-24 2290
VID 查看网页源代码发现有个文件路径  访问的看到了有三个参数用get方式提交  在url后提三个参数和对应的值就看到了一个1chunqiu.zip  访问就可以下载文件 这里需要进行代码审计  先看log.php界面 if(isset($_POST['username']) && isset($_POST['password']) &am...
怎么使用数据库12341234
yunyunjenny的专栏
08-09 322
啊啊啊啊啊 21342134
i春秋CTF训练 Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块简单应用
椰奶冻不安全的博客
07-05 1164
Web 123 常见的Web源码泄露漏洞 Burpsuite Intruder模块介绍 题目内容:12341234,然后就解开本题来自擂主C26 题目链接请在i春秋申请 login.php 源码里发现提示,用户名+出生年份就是密码,用zhangwei和zhangwei1999试了一下,没错当然登陆失败,只能再想办法了 常见的Web源码泄露漏洞 git源码泄露 Git是一个开源的分布式版本控制系统,每次执行初始化目录的时候会在当前目录下自动创建一个.git目录,用于记录代码的变更记录等 s
百度杯”CTF比赛 九月场,web题,题名:123,题名内容:12341234,然后就解开
qq_43814486的博客
11-10 1263
打开后看到: 查看网页源代码: 根据提示去找user.php文件,首先我是直接访问: 然后啥也没有,尝试下载user.php文件: 下载成功,打开: 再根据原来的提示,密码是用户名加生日,上bp爆破一下 ...
i春秋WEB CTF 2
cbhjerry的博客
11-16 2936
题6:SQL,出题人就告诉你这是个注入,有种别走! 解题:这是一个存在sql注入漏洞的题目, 通过手工测试发现程序对"SELECT","ORDER"进行了识别,即判断为注入行为,虽然对"AND"不进行识别,但如果其后面有"="同样认定为注入行为。同时发现了对"<>"进行了过滤,因此可将以上3个关键字换成"SELEC<>T",&quo
i春秋第二届春秋欢乐赛 Substituted writeup
hanjinrui15的博客
10-04 1194
i春秋第二届春秋欢乐赛 Substituted writeup 第一步:审题 题目中给出了一个文本文档: Lw! Gyzvecy ke WvyVKT! W’zz by reso dsbdkwksky tzjq teo kly ujr. Teo keujr, gy joy dksurwmq bjdwv vorakeqojalr jmu wkd jaazwvjkwemd. Vorakeqojalr l...
I春秋——web Write up(三)
Lemon's blog
09-27 839
前言:继续总结,学习更多关于web知识和练习编写脚本的能力。 GetFlag 一个登陆框加上验证码,不过有一点不同的是substr(md5(captcha), 0, 6)=e7e24a,截取MD5加密后验证码的前6位,而且需要等于后面的值(后面的值是变化的) 那就属于MD5碰撞了,就模仿大师傅写一个python脚本跑一下 import requests //requests库是一个常用的用于ht...
Misc-登机牌[i春秋][150pt]
Laurel_60的博客
09-02 1387
首先,拿到的是这样的一张登机牌图片- - 第一眼看到的就是图片中的二维码,三个重要部位都被漂亮的小姐姐挡住了,所以首先想到的就是把这个二维码还原。 [+]Back 因为之前也刷过类似的二维码题目,名字是单身狗,当时给出的图片如下- - ...
【2017 X Samara Regional Intercollegiate Programming Contest I】Matrix God 题解
Four's
04-10 1012
题目大意~~~~~~有三个 n×n 的矩阵 A、B、C,问 A×B 是否等于 C。 ~~~~~~元素在模 1e9+7 意义下。 ~~~~~~n<=1000
“百度杯”CTF比赛 2017 二月场,题目名称:爆破-3
qq_43814486的博客
11-18 618
刚刚打开就看到404: 看了下网址,没毛病,于是转到index.php看看: 已经很清楚了,就是要在120秒内达成这个条件10次就能输出flag了 $ _SESSION['whoami']==( $ value[0]. $ value[1]) && substr(md5($value),5,4)==0 真是如题目所说的,,,爆破,,,,,然后我就想如何?value=(解密的e...
php和c++哪个更好学?C++难学吗?
2503_94025595的博客
12-05 697
PHP和C++入门选择指南 对于编程初学者,PHP和C++各有特点: PHP更适合零基础入门,语法灵活,学习曲线平缓,能快速实现动态网页效果 C++学习难度较大,需要理解底层原理,但适合系统级开发和高性能应用 核心差异:PHP变量类型灵活自动内存管理,C++强类型手动内存管理 建议根据目标选择:Web开发选PHP,游戏/系统开发选C++ 学习要点:PHP重实践项目,C++需循序渐进掌握基础语法 关键是根据个人兴趣和发展方向选择,保持持续学习最重要。
【昆工】毕业可投的国际期刊
最新发布
2503_94022055的博客
12-09 232
推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。
Bugku HackINI 2022 Whois 详解
m0_56970656的博客
12-09 334
基础的Linux RCE 绕过。
k8s部署wordpress
2502_92656182的博客
12-06 670
在 K8s( Kubernetes)中部署 WordPress,通常需要结合Deployment(部署 WordPress 应用)+ Service(暴露访问)+ PersistentVolumeClaim(存储数据)+ 数据库(比如 MySQL) 来实现。以下是简化的核心步骤:先部署 MySQL(也可以用已有数据库),需要配置存储和账号: 2. 部署 WordPress 配置 WordPress 的 Deployment 和 Service,关联 MySQL: 3. 配置存储(PVC) 需要提
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值