- 博客(2)
- 收藏
- 关注
RSS订阅原创 bugku-web 二手交易市场-手注(在蚁剑和菜刀没用的时候,我该怎么打天下)
在蚁剑和菜刀没用的时候,我该怎么打天下页面如下先注册一手看看是否存在xss sql注入之类的都尝试了,最后发现在修改头像处可以尝试文件上传因为这里提示只能上传jpg等,php上传不了,发动小脑筋将他绕过这个图片我们根据开头,判断他是经过base64编码的,解码后为data:image/jpeg;base64,这里上传类型为jpeg,我们修改为php,并将一句话木马base64编码后拼接到后面可以达到绕过效果我们通过burp发送到repeater模块,通过回显可以得到它的图片存放路径然
2021-05-07 08:36:17
665
3
原创 CTF之命令执行漏洞(python)
1.打开环境,页面有两个按钮,分别为‘选择文件’&&‘上传’2.右键检查页面源代码,提示会将上图的文件当作python代码执行,只允许上传‘jpg’&&‘png’为后缀的图片3.我们新建一个txt文件,将python代码写入文件(1)为什么要执行import os?我们在python下写程序,需要对文件以及文件夹或者其他的进行一系列的操作。但是,我们怎么在python中对文件进行操作呢?这就引入了os模块了。例如:os.name返回当前系统os.getc
2021-04-19 17:37:19
1565
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人