2023年10月31日

摘要: Csb-sqli-bypass靶场通关实况 Index1 首先判断是字符型注入还是数字型注入,输入一个单引号 输入两个单引号,明显回显不一样,证明存在字符型注入 进行代码审计,发现存在空格过滤,我们可以使用/**/ %0a () %20 /*!*/ %09进行替换 此时输入1'%0aor%0a1=1 阅读全文
posted @ 2023-10-31 06:08 Kevin_404notfound 阅读(71) 评论(0) 推荐(0) 编辑
 
摘要: CTFHub-RCE通关实况 eval执行 首先打开网页,发现如下的后端代码 发现这里直接调用了超全局变量REQUEST,证明这里get和post两种方法都可以用,但我们需要先判断目标系统是windows还是linux,我们先用在本地物理机ping一下该网址,发现TLL的值为53,那目标网址机器系统 阅读全文
posted @ 2023-10-31 04:11 Kevin_404notfound 阅读(39) 评论(0) 推荐(0) 编辑

2023年10月17日

摘要: sqli靶场通关流程23~32关 Less-23 GET - Error based - strip comments (基于错误的,过滤注释的GET型) 首先,我们通过输入1’ union select 1,2,database()--+发现结尾提示少了一个单引号 我们再尝试输入联合查询语句?id 阅读全文
posted @ 2023-10-17 16:00 Kevin_404notfound 阅读(99) 评论(0) 推荐(0) 编辑

2023年10月14日

摘要: sqli靶场通关流程11~22关 Less-11 POST - Error Based - Single quotes- String (基于错误的POST型单引号字符型注入) 从这一关开始,我们就要用到post的方法了,只能bp抓包分析了 打开页面,发现只有登录框,我们输入用户名admin,密码a 阅读全文
posted @ 2023-10-14 02:41 Kevin_404notfound 阅读(64) 评论(0) 推荐(0) 编辑
 
摘要: sqli靶场通关流程2~10关 Less-2- Error based - Intiger based (基于错误的GET整型注入) 首先,我们先输入单引号试试,根据报错信息确定咱们输入的内容被原封不动的带入到数据库中 那我们可以直接像第一关一样,使用联合查询,输入?id=-1' union sel 阅读全文
posted @ 2023-10-14 01:05 Kevin_404notfound 阅读(84) 评论(0) 推荐(0) 编辑

2023年10月12日

摘要: 个人整理的sql手工注入方法和流程 编写人:Kevin 2023.10.12 阅读全文
posted @ 2023-10-12 16:00 Kevin_404notfound 阅读(13) 评论(0) 推荐(0) 编辑

2023年10月10日

摘要: Sqli-labs less-1 首先看题,提示你输入数字值的ID作为参数,我们输入?id=1,发现直接得到登录名和密码 输入的数值不同,回显内容也不同,所以输入的内容是带入到数据库里面查询了 接下来判断是字符型还是数字型 我们可以在数值1后面加上一个单引号和双引号来判断,先加入单引号看看。可以发现 阅读全文
posted @ 2023-10-10 13:06 Kevin_404notfound 阅读(60) 评论(0) 推荐(0) 编辑

2023年9月28日

摘要: CTF-misc 复合隐写 本质:图片的本质其实是很长一段的码,我们在图片码中加入一点其他的东西,然后调整一下是不影响图片的观看和打开的,所以我们在图片码中加入一段flag就可以达到隐藏的效果 例1:找出这张图片隐藏的flag 这里我们直接使用Hex代码可视化工具WinHex打开图片,在图片末端可以 阅读全文
posted @ 2023-09-28 16:35 Kevin_404notfound 阅读(486) 评论(0) 推荐(0) 编辑

2023年9月26日

摘要: CTF-Crypto MD5 Message Digest Algorithm 5,中文名为消息摘要算法第五版,是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。 MD5作为一种常用的摘要算法(或指纹算法),其具有以下几个重要的特点: 输入任意长度信息,输出长度固定:MD5 可输入任 阅读全文
posted @ 2023-09-26 15:04 Kevin_404notfound 阅读(111) 评论(0) 推荐(0) 编辑

2023年9月7日

摘要: Python基础2 用户登陆程序需求: 1. 输入用户名和密码; 2. 判断用户名和密码是否正确? name='root' passwd='westos' 3. 为了防止暴力破解, 登陆仅有三次机会, 如果 超过三次机会, 报错提示; # 设置用户名和密码 correct_username = 'r 阅读全文
posted @ 2023-09-07 21:40 Kevin_404notfound 阅读(23) 评论(0) 推荐(0) 编辑