上一页 1 2 3 4 5 6 下一页
  2023年8月7日
CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题考察的是反序列化,反序列化的题都需要审计php代码,步骤也比较固定。 <?php if (isset($_GET['var'])) { $var = base64_decode($ 阅读全文
posted @ 2023-08-07 21:22 MiracleWolf 阅读(151) 评论(0) 推荐(0)
  2023年8月4日
CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 python的flask模板注入的题思路比较固定,Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。 1.猜测是否存在注入:直 阅读全文
posted @ 2023-08-04 21:17 MiracleWolf 阅读(321) 评论(0) 推荐(0)
  2023年8月3日
CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL
摘要: 一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]BabySQL 二、解法步骤 本题是SQL注入,那么先尝试万能密码:1' or 1=1# 发现or后面的东西都失效了,猜测 阅读全文
posted @ 2023-08-03 18:20 MiracleWolf 阅读(194) 评论(0) 推荐(0)
  2023年8月2日
CTFer成长记录——CTF之Web专题·极客大挑战—Upload
摘要: 一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Upload 二、解法步骤 本题是一个文件上传题目,先测试是黑名单还是白名单:随便上传一个文件,提示: 看来只能上传图片类 阅读全文
posted @ 2023-08-02 17:30 MiracleWolf 阅读(388) 评论(0) 推荐(0)
CTFer成长记录——CTF之Web专题·极客大挑战 2019—http
摘要: 一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Http 二、解法步骤 本题名叫http,那么应该与http请求包里面的东西有关。 主页是一个招新页面,没有什么特别的,看 阅读全文
posted @ 2023-08-02 13:00 MiracleWolf 阅读(160) 评论(0) 推荐(0)
  2023年7月31日
CTFer成长记录——CTF之Misc专题·攻防世界—glance-50
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 打开附件是一个非常狭窄的gif动图,看来想用stegslove暂停来取是不可能的了。这里我们可以用gif分解网站:https://tu.sioe.cn/gj/fenjie/。 将文件上 阅读全文
posted @ 2023-07-31 20:10 MiracleWolf 阅读(539) 评论(0) 推荐(0)
CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题打开是让我们搜新闻,新闻的数据就是来自于数据库的,那么比较容易想到这题应该是sql注入。 首先判断是否能单引号绕过:输入hello正常回显,但hello' ,发现页面空白,说明he 阅读全文
posted @ 2023-07-31 17:08 MiracleWolf 阅读(432) 评论(0) 推荐(0)
CTFer成长记录——CTF之Web专题·攻防世界—unseping
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题主要是代码审计和反序列化; 代码审计:首先我们需要知道整个题的基本执行顺序:post传参——>base64编码——>反序列化——>调用__wakeup()魔术方法——>执行waf( 阅读全文
posted @ 2023-07-31 16:10 MiracleWolf 阅读(1145) 评论(0) 推荐(0)
CTFer成长记录——CTF之Web专题·攻防世界—file_include
摘要: 一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题依然是文件包含,那么构造paylaod:?filename=php://filter/read=convert.base64-encode/resource=flag.php 发现 阅读全文
posted @ 2023-07-31 14:52 MiracleWolf 阅读(243) 评论(0) 推荐(0)
  2023年7月30日
CTFer成长记录——CTF之Web专题·19强网杯—随便注
摘要: 一、题目链接 https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 二、解法步骤 本题考察的是堆叠注入:堆叠注入原理就是通过结束符同时执行多条sql语句;例如php中的m 阅读全文
posted @ 2023-07-30 18:08 MiracleWolf 阅读(150) 评论(0) 推荐(0)
上一页 1 2 3 4 5 6 下一页

博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3