摘要:
题目链接:https://buuoj.cn/challenges#[GXYCTF2019]Ping Ping Ping 打开环境后如下所示。 题目直接提示了有一个 GET 参数,参数名是 "ip",尝试输入:?ip=127.0.0.1 后,结果如下所示。 可以看到,网站后端进行了一个 ping 操作 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[ACTF2020 新生赛]Exec 打开后,环境如下。 尝试输入 "127.0.0.1",抓取请求包。 POST / HTTP/1.1 Host: 038dc28f-5191-4958-8946-1127f62ad770.node5 阅读全文
摘要:
链接:https://buuoj.cn/challenges#[ACTF2020 新生赛]Include 打开环境后如下,只有一个 "tips" 的超链接。 访问 tips,留意传入了 "file" 参数。 接下来,可以尝试下路径穿越:?file=flag.php../../../../../etc 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[HCTF 2018]WarmUp 打开环境后如下。 查看页面源代码,发现存在提示 "source.php"。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" 阅读全文
摘要:
链接:https://buuoj.cn/challenges#[极客大挑战 2019]Havefun 打开环境后如下所示。 在 BurpSuite 中(或直接 CTRL + U)查看源代码后,可以发现存在如下代码。 $cat=$_GET['cat']; echo $cat; if($cat=='do 阅读全文
摘要:
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]EasySQL 打开后,页面如下所示: 可以看到,只有一个登录框,没有其他的内容,一般这种情况,应当先考虑 SQL 注入。 在密码框中直接插入万能密码:' or 1=1 ;#。 成功获取 flag。 知其然,知 阅读全文