摘要:
题目一 来自: [BJDCTF2020]Cookie is so stable 这道题如果吃透的话,这类SSTI注入应该都可以触类旁通了。 打开页面,左上角flag和hint: 先打开flag,就看到这个查询框: 很难不让人想到SQL注入,但是试了半天也没用。 既然给了hint,那就去看看。 页面没 阅读全文
摘要:
来自: [NCTF2019]Fake XML cookbook 在moectf2023中也有一道题知识点是XXE漏洞,只不过那道更明显一点。 XXE漏洞全称XML External Entity Injection 即XML外部实体注入。 XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的 阅读全文
摘要:
来自: [GXYCTF2019]禁止套娃 首先打开一看,什么都没有: 查看源码也啥都没有,没有hint。 那这种情况下估计是源码泄露,我们用dirsearch扫一下: 扫了一堆git出来,估计就是git泄露。 这里就需要第二个工具githack,拿到源码文件: 打开一看,确定了是文件包含: <?ph 阅读全文