攻防世界Web_fakebook
摘要:一、题目: 解题思路: 1.先使用dirsearch扫描一下目录。 发现有以下几个页面: 发现/flag.php 访问发现返回空白页面。这种情况一般要么就本身是空白内容,要么就是访问权限不够,显然是后者。 然后发现/robots.txt访问一下。 不允许访问/user.php.bak 这是个用户备份
阅读全文
posted @ 2022-03-02 18:08
03 2022 档案
渗透测试之SQL注入(下篇)
摘要:一、数据库基础知识 1.什么是SQL? 1)大多数网站使用数据库存储数据 2)数据库database(DB)存储了用户名,密码等重要数据 3)网站应用程序读取,更新和插入数据到数据库中 4)和数据库进行交互就是SQL,使用SQL语句/注入语句。 mysql是其中一种常用的数据库。 我们部署的meta
阅读全文
posted @ 2022-03-02 00:28
攻防世界Web_web2
摘要:题目: 直接给php源代码,题目描述是解密。 由代码可以知道$miwen就是flag,而且给出了加密函数。 代码审计: <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; // flag加密后结果
阅读全文
posted @ 2022-03-01 17:53
