cc菜的一批

web6：以为是sql注入，输入了一下，发现IP被禁止。那么模拟一下请求头127.0.0.1找了一圈发现，密码是在HTML信息的最下面了。登录账号admin，密码test123，得到flagweb7注册后随便登录个账号，显示权限不够。看请求头cookie，发现规律如下：r: 351e766803 d63c7ede8cb1e1c8db5e51c63fd47cffu: ...

题目名称：Hello World类型：Web难度：★☆☆☆☆题目地址：链接游戏说明：OTF为您打造加长版炫彩贪吃蛇回车键开始 、空格暂停 、方向键控制方向按一下键就加一个，吃到一个加一截。。得到50分获得flag看了一眼游戏说明，那么我们就开始玩一次吧。那么我们就F12看看，它是请求的。http://149.129.103.121:8009/getScore...

题目名称：Hello World类型：Web难度：★★★☆☆题目地址：链接解题方法如下：打开网站，F12看HTML信息。打开这个文件，却显示404不存在，那么猜测可能存在git源码泄露。Python工具跑一下。果然存在git源码泄露，使用Git_Extract 工具，下载出源码。我们发现有俩个flag.js 文件。使用beyond compare工具，对比俩个文本。点...

下面是题目源码<?php include "config.php";error_reporting(0);highlight_file(__FILE__); $check_list = "/into|load_file|0x|outfile|by|substr|base|echo|hex|mid|like|or|char|union|or|select|greatest|%00|...

web1：读图片中代码可知，c=读取b的内容，a与b相等即可得到flag利用php伪协议，post 1 即可。http://123.206.31.85:10001/?a=1&b=php://inputweb2：简单的计算式子，直接正则匹配，算一下就行了。代码如下：web3：...

题目地址：地址输入123’ 回显了sql 的查询语句：select id,username,password from `admin` where username=‘123’'从语句中，直观的看出1、字段为：id、username、password2、表为：admin3、字符型注入，单引号闭合输入：1’or 1=1#得知以下信息：1、过滤了空格2、过滤了or过滤空格，尝...

一、SQL注入原理利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。二、手工注入思想流程1、判断是否存在注入点2、是数字型注入，还是字符型注入3、判断字段数4、判断回显位置5、获取数据库名6、获取表名7、获取字段名8、得到数据三、开始手工sql注入难度等级注入方式提交方式low字符型get尝试输...