摘要: 文件上传一、phpstudy搭建upload-labs下载phpstudy打开Apache和MySQL之后创建网站这里要打开创建数据库的选项配置upload-labs下载链接:https://github.com/c0ny1/upload-labs下载后解压放在我们之前安装好的phpstudy的WW 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(91) 评论(0) 推荐(0) 编辑
摘要: 反序列化一、类与对象php类与对象举例<?php class animal { public $name = 'dahuang';//define a virable public function sleep(){//define a simpe method echo $this->name . 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(15) 评论(0) 推荐(0) 编辑
摘要: VNCTF象棋王子首先进入靶场看到的是一个象棋的版面试着下了一盘,发现根本赢不了。那就查看源代码。然后挨个儿查看可以点开的文件在s/play.js文件中发现复制这一段到或者在线jsfuck解密都可以得到flag、 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(22) 评论(0) 推荐(0) 编辑
摘要: SQL注入一、基本语法用户登陆判断语句:SELECT * FROM users WHERE user='uname' AND password='pass' SELECT * FROM users WHERE user='name' AND password='' OR ''=''基于报错的检测方法 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(49) 评论(0) 推荐(0) 编辑
摘要: PHP特性+命令执行第一部分 Linux基础目录管理绝对路径、相对路径绝对路径路径的全称:(比如D盘的brup)D:\Burp\Burp_Suite\xxxcd:切换目录命令cd加目录名(绝对路径都是以/开头,相对路径../../)./ :当前目录返回上级目录:cd ..ls : 列出目录(在Lin 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(120) 评论(0) 推荐(0) 编辑
摘要: HNU1.31测试wp一、Welcome To HnuSec首先进入靶场发现没有可以交互的地方首先查看网页源代码发现需要用本地用户才能登入这里就要在请求包中加入X-Forwarded-For:127.0.0.1让服务器认为请求访问的是本地用户收到返回包访问这个地址通过代码审计我们需要用get上传一个 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(31) 评论(0) 推荐(0) 编辑
摘要: BUU CTF Web[极客大挑战 2019]Upload1首先上传一句话木马提示说不是图片需要抓包改文件格式。将Content-Type里面的格式改为image/jpeg绕过后缀的有文件格式有php,php3,php4,php5,phtml.pht发现只有phtml可以发现过滤<?换个一句话木马G 阅读全文
posted @ 2023-08-09 09:33 Sdegree 阅读(80) 评论(0) 推荐(0) 编辑
摘要: BUU CTF BasicLinux Labs1这个测试没什么技术要求,只要了解ssh以及linux系统即可点击启动靶机,出现的页面点击所给的http链接,得到如下界面 Index of这个页面啥也没有,没啥用返回第一个界面,给出了ssh以及映射地址和端口(这个地址+端口是随机的)所以直接启动ssh 阅读全文
posted @ 2023-08-09 09:13 Sdegree 阅读(200) 评论(0) 推荐(0) 编辑