10 2023 档案

摘要：依旧是CTF.show 这次是菜狗杯的一道题——抽老婆 看这名字有点意思，就点开了看看，没想到考点还不少。 开启靶场。 只有开抽和抽老婆两个可点，功能一致。 随便右击一张老婆，查看源代码；在新标签页打开图片，F12，查看网络 直接说我的结论吧。这个抽老婆的功能的业务逻辑是——Get请求 /getwi 阅读全文

摘要：好久没写博客，上次写还是在上次（三年前）。 如题，写一次CTF的题解 根据题目提示得知这应该是一个注入，什么注入还不知道，进入靶场。 仅有三个地方可点，都点进去看看。 从URL处可以看到前端是传了一个参数id给后端（另外两个类似，就不贴图了）。 那很明显了是SQL注入。 首先在参数后面打个'（单引号 阅读全文