摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]PHP 打开环境后如下所示。 题目提示 "有一个良好的备份网站的习惯",因此,尝试爆破一下可能的备份文件名(如:backup.zip、www.zip 等)。 发现该网站的备份文件名为 "www.zip",下载后 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]BabySQL 打开环境后如下所示。 尝试以下几种方法的万能密码: 不加单引号。 加单引号。 加双引号。 发现加入了单引号后,有 SQL 错误提示,但是可以发现,题目似乎过滤了用户输入的 "or"。 接下来,尝 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[ACTF2020 新生赛]Upload 打开环境后如下所示。 指向灯泡,可以发现存在一个上传功能。 尝试先上传 ".php" 后缀文件,响应包如下。 题目提示 "nonono~ Bad file!",此处笔者直接修改后缀为 ".ph 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Knife 打开环境后如下所示。 直接使用 AntSword 连接 WebShell 即可。 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Upload 打开环境,如下所示。 通过页面源代码可以发现,该网站系 PHP 架构,因此尝试直接上传一句话木马。 发现提示 "NOT!php!",因此尝试 fuzzing 一下后缀名。 发现网站可以通过了 "p 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Http 访问环境如下。 该页面的响应包如下。 HTTP/1.1 200 OK Date: Wed, 23 Oct 2024 16:21:45 GMT Server: Apache/2.2.15 (CentOS 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Secret File 打开环境后如下所示。 通过 BurpSuite 抓包后,发现页面源代码如下。 <!DOCTYPE html> <html> <style type="text/css" > #maste 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]LoveSQL 打开环境后,如下所示。 尝试 SQL 注入(万能密码)。 Payload:admin'+or+1%3d1%3b%23。 (笔者通过简单粗暴的尝试:①没有使用单引号;②使用单引号;③使用双引号,来 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[强网杯 2019]随便注 打开环境后,如下所示。 通过输入 ',确认该处是由单引号闭合。 通过输入 Payload:'union select 1;#,可以发现后端对一些关键词进行了过滤。 尝试堆叠注入,可以查询到数据库名以及当前使 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[SUCTF 2019]EasySQL 打开环境后,如下所示。 尝试输入字符:1。 尝试输入字符:0 后,发现没有输出结果。 尝试输入字符串 "aaa"、"bbb" 等后,发现都跟输入 0 的结果一致,而输入 123、456 等非 0 阅读全文