2023年10月31日

摘要: Csb-sqli-bypass靶场通关实况 Index1 首先判断是字符型注入还是数字型注入,输入一个单引号 输入两个单引号,明显回显不一样,证明存在字符型注入 进行代码审计,发现存在空格过滤,我们可以使用/**/ %0a () %20 /*!*/ %09进行替换 此时输入1'%0aor%0a1=1 阅读全文
posted @ 2023-10-31 06:08 Kevin_404notfound 阅读(71) 评论(0) 推荐(0) 编辑
 
摘要: CTFHub-RCE通关实况 eval执行 首先打开网页,发现如下的后端代码 发现这里直接调用了超全局变量REQUEST,证明这里get和post两种方法都可以用,但我们需要先判断目标系统是windows还是linux,我们先用在本地物理机ping一下该网址,发现TLL的值为53,那目标网址机器系统 阅读全文
posted @ 2023-10-31 04:11 Kevin_404notfound 阅读(39) 评论(0) 推荐(0) 编辑