随笔分类 - CTF学习(WEB)
关于CTFweb题目的解题记录
摘要:1.对用户名和密码输入1 查看回显(提示错误密码) >将用户名修改为1'(报错,找到注入点) 2.对用户名依次输入 1' order by 4# 1' order by 1# 1' order by 3# 测试出有3列 测试回显位: 1' union select 1,2,3# 联合查询: 爆库名:
阅读全文
摘要:1.输入1'回显出语法错误(找到注入点,是字符型) error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the
阅读全文
摘要:1.打开BP抓包发现存在提示 提示: <!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5--> 经过Base16-32-64-91混合多重解码后: s
阅读全文
摘要:1.进入页面发现是文件上传题(CTRL+U后发现源代码无提示) >上传包含一句话木马的.php文件(之后抓包修改filename和content-type还是不行)和.htaccess文件发现存在过滤 (1)1.php文件:illegal suffix! 一句话木马:<?php @eval($_PO
阅读全文
摘要:1.进入源文件开始看看 <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Upload</title> <form action=
阅读全文
摘要:web1:upload 1.进入网站(文件上传题?) >CTRL+U查看源码(无果) >导入带有一句话木马的.php文件(无法上传非图片文件) 2.使用Javascript Switch插件关闭网页的js设置后再次上传图片(成功) >将文件上传后的路径添加进蚁剑(密码为先前上传的.php文件中POS
阅读全文