yxl_d的博客

最近学习一下sql注入，领教一下Sqli-labs的魅力。Sqli-labs下载Less-1GET-Error based-Single quotes-String(基于错误的GET单引号字符型注入)打开界面：尝试?id=1:闭合符号一般是',",或无闭合符号或')，")；注释符号为--+。尝试?id=1':很明显单引号闭合，再?id=1'--+注释掉后面的：接下来就要判...

前记XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。...

ISCC2019已经结束了，虽然做不出来几道题，但是经过后来的学习觉得还是有必要总结一下的。MISC1（隐藏的信息）这道题主要是进制转换后再转ascll码，然后base解码首先考虑到每个数字的大小，就发现都是八进制，然后转为十进制然后十进制转ascll码得看起来应该是base解码，不妨试一下OK，flag出来了…MISC2（倒立屋）房屋为什么会倒立！是重力反转了吗？这道题...

杂项一（签到题）签到题没什么好说的，关注公众号即可。杂项二（这是一张单纯的图片）保存图片然后用winhex打开发现unicode编码转化，在线工具得到flag杂项三（隐写）下载压缩包，打开有一张图片。winhex打开图片发现把高改成和宽一样，把A4改成F4，即可得到flag杂项四（眼见非实）下载好文件，文件后缀名改为.zip格式，打开后发现里面有一个名字为眼见非实的文档，打...

前记做题平台：攻防世界平台地址：https://adworld.xctf.org.cn/做题工具：Firefoxweb1.view_source拿到题目链接打开后发现右键不管用了于是乎在Firefox上打开web开发者中的web控制台，可获得flagweb2.get_post在Firefox上打开插件hackbar，用get方式传递a=1勾选hackbar上的Enable...

前记瞅瞅进阶区的，继续总结。1.NaNNaNNaNNaN-Batman打开题目并下载附件有乱码但看到<script>等标签的，后缀名改为html查看毫无头绪，查看wp发现整理下弹框内容发现直接将下面代码复制到控制台执行var t=["fl","s_a","i","e}"];var n=["a","_h0l","n"];var r=["g{","e","_0...