- 博客(10)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 buuctf-[HCTF 2018]WarmUp1
对'hint.php'执行mb_substr函数,但是函数内一个参数是来自另一个函数mb_strpos的返回值,因此我们先看mb_strpos函数,使用.进行字符连接,即连接了一个问号字符 '?'中第一次出现的位置,从0开始算,返回8,即length=8 接下来我们执行mb_substr函数,即 mb_substr('hint.php',0,8) 从字符串中的第一个字符处开始,返回8个字符,其实还是返回的hint.php;接下来,它检查传入的$page是否直接在白名单中存在,如果存在,返回true。
2024-10-04 15:43:35
1200
1
原创 buuctf-[极客大挑战 2019]EasySQL1
所以此处使用单引号字符型的万能密码,即可获得正确的flag(用户名和密码至少有一个输入万能密码即可获得正确的flag)2.方法二:使用HackBar进行SQL注入(思路和万能密码是一致)2.在username,password测试注入。该数据库闭合方式为单引号‘输入admin 123。试试是否是字符型1'
2024-10-04 15:19:11
268
原创 buuctf-[ACTF2020 新生赛]BackupFile
2.查看代码,is_numeric()函数判断类型,并要求与$str变量相等,又是一个弱类型的比较,构造参数为key=123,访问得到flag。1.打开环境根据提示,进行目录扫描,访问index.php.bak得到源码。
2024-10-04 10:01:26
267
原创 buuctf-[极客大挑战 2019]BuyFlag
2.由源码提示可以知道,需要使用student身份访问,在请求头中添加cookie为user=1(正常访问时请求头中会生成cookie为user=0)这里挖了个坑,限制了我们传参的内容长度,这里有两种方法,一种是通过科学计数法传入参数,第二种是使用数组方式传参进行绕过。金额验证:需要支付100000000的金额,且需要通过POST方式提交。身份验证:用户必须是CUIT的学生,这通过检查Cookie中的user=1来实现。1.打开环境,使用burp进行抓包查看源码,在源码中发现pay.php。
2024-10-04 09:59:17
407
原创 buuctf-afr_3
与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。3.发现目录穿越漏洞,结合题目确定是flask模板注入,爆破目录,访问../../../../../proc/self/cmdline。4.那么现在根据 /proc/ 的特性,可以读取正在运行的 pythonserver.py 的源码,访问server.py。
2024-10-04 09:49:54
618
原创 buuctf-[RoarCTF 2019]Easy Calc
chr()绕过引号,输入特定的askill的值,先用var_dump(scandir(chr(47)))查根目录的文件和目录,var_dump(file_get_contents(chr(47).f1agg))查文件内容。可以看到禁用的php函数,那么利用scandir进行目录的读取,需要注意的是/是已经被代码过滤了,需要使用chr(47)来代替,那么构造payload:var_dump(scandir(chr(47)));通过构造特定的payload,可以绕过WAF检测,读取特定文件的内容。
2024-10-04 09:40:56
832
原创 sqli-labs 通关笔记第三关
id=1') order by 4 --+ 回显错误,说明最大有3个字段可显示数据。1,判断注入类型:根据提示看出这关的注入类型是**单引号和单括号**型注入。id=1') and 1=2 回显出错误。3,使用union select 1,2,3 联合查询有几个显示位。id=1') order by 3 --+ 回显正常。id=1') and 1=1 --+回显正常。此处是-1而不是1,因为1是正常数字会占用显示位置。,回显可知,能看到的数据显示位只有2,3。5,爆破出数据库内的数据库名。
2024-04-23 18:47:13
576
原创 sqli-labs通关笔记第二关
limit后面的第一个参数表示从第几+1行开始查,第二个参数表示查几条数据。11,利用sql爆出username,password列的值。id=1 and 1=1 回显正常,判断为数字型。9,利用sql爆破出user数据表内的列名。6,爆破出security数据库内的表名。7,如果上一步没有爆出数据库名,也可以。id=1 and 1=2回显错误。eg:3,2 第四行,取两行。2,判断注入类型,字符型,数值型。1,传入id=1 查看页面回显。5,爆破出数据库内的数据库名。4,查数据库名和版本号。
2024-04-22 20:38:19
545
1
原创 sqli-labs 通关笔记第一关
返回数据库为security,表名为emalls,referers,uagents,users。id=1' union select 1,2,3 --+ 返回页面不变,应为select*from where id='x and 1=2'id=1' order by 4 --+ 报错,说明只有三个字段。4,使用联合查询是否有显示位 union select 1,2,3。url中输入id=x and 1=1 回显正常。id=\,报错,判断是用'闭合的。用and1=1和and1=2来判断。
2024-04-22 19:54:25
382
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人