10 2023 档案
摘要:依旧是CTF.show 这次是菜狗杯的一道题——抽老婆 看这名字有点意思,就点开了看看,没想到考点还不少。 开启靶场。 只有开抽和抽老婆两个可点,功能一致。 随便右击一张老婆,查看源代码;在新标签页打开图片,F12,查看网络 直接说我的结论吧。这个抽老婆的功能的业务逻辑是——Get请求 /getwi
阅读全文
摘要:好久没写博客,上次写还是在上次(三年前)。 如题,写一次CTF的题解 根据题目提示得知这应该是一个注入,什么注入还不知道,进入靶场。 仅有三个地方可点,都点进去看看。 从URL处可以看到前端是传了一个参数id给后端(另外两个类似,就不贴图了)。 那很明显了是SQL注入。 首先在参数后面打个'(单引号
阅读全文