随笔分类 - 实验吧
实验吧题库中的一些web题,比较新手
摘要:首先看到的是一个输入框 不多说,直接bp抓下来 然后传repeater里,发现了pin值后showsource值,pin值没什么,应该是做题用的,而showsource是个隐藏的值,将其0改为1后go一下 右边出现了flag的提示 意思是如果a等于-19.........就输入The flag is
阅读全文
摘要:点击登录发现没用 然后康康源码 给出提示test使用的是md5加密,如果id为0就。。。。 这里使用php中==的漏洞,==只比较值的大小并不会比较数据类型 所以这里使用md5(0)的相等值240610708输入到username中 弹出提示 似乎是网页的后缀,加进去试试 似乎让我们用布尔? 这段代
阅读全文
摘要:先看题 分析信息: strrev是一个将字符串进行翻转的函数。 substr是一个取字符串子串的函数,其用法为strsub(str, start, length),第一个参数为字符串,第二个参数为起始位置,第三个参数为子串长度,返回的结果就是str字符串从start这个位置开始的长度为length的
阅读全文
摘要:进去一看 没什么奇特的地方,两个输入框一个提交 不多说,流程走一遍,先是看源码再抓个包 源码中提到了给index.text 点进去qio一哈,发现时打印flag的过程 抓包的话没遇到上面奇特的信息 算了,先分析源码吧 关键点在,如果($row[pw]) && (!strcasecmp($pass,
阅读全文
摘要:打开看到的又是这种输入框。。。。。感觉web题很多这种形式的啊 点击看一下源码 发现这题一共又四层,显示isset函数中输入password然后ereg函数中为真然后再password的长度小于8但是password的值又大于9999999.。。。。。感觉有点无语 最后strpos函数的值为真就输出
阅读全文
摘要:打开又是一个输入框的界面,点一下下面的看源码 很简短的一个源码 大概意思是如果password等于session[password]就输出flag 直接搜了下session函数的漏洞,发现session是用cookie传递的,当cookie被禁用时session就没法传递了,让session的值直接
阅读全文
摘要:进去后显示如下界面 先试试他的步骤,选择一个桌面上的文件然后submit 显示 直接把txt改为jpg试试 显示 呀!他这个有点皮啊,难道要我弄个jpg+php后缀的?当然不是 所以根据题目,既然是绕过我们试试bp拦截一下 拦截到以上界面 发现我们传入的图片在这 试试直接在后面补上1.php+就相当
阅读全文
摘要:先查看源码找找突破口 发现了一个很关键的sql语句 $sql="select * from users where username='$username' and password='$password'" 再试试对导航栏进行注入 ?username=1’ 没有如何反应 。。。。。有点尬。。。。试
阅读全文
摘要:仍然 1 1’ 1” 发现1’报错了。。。。。我觉得作者对’情有独钟 再试试 1# 1’# 1”# 发现都可以正常登录 试试1' and '1'='1和1' and '1'='2发现成功登录和不成功登录的区别在于显示hello不,这里并不会输出id= name= 所以这里应该是个报错型盲注 所以这里
阅读全文
摘要:尝试 1 1’ 1” 发现1’还是会报错,所以注入口还是1’ 再试试1' and '1'='1发现报出SQLi detected! 取消空格试试1'and'1'='1 似乎可以进入,应该就是过滤了空格 我们仍使用/**/的方法 1'/**/union/**/select/**/schema_name
阅读全文
摘要:首先查看源码找找思路 发现源码里什么都没有 再使用bp拦截下数据 多次拦截后发现我们在 输入框里输入的等下就是id= 意思是我们这里就可以直接使用get注入了 好像类似于sql-labs上的?id= 所以这里应该还用不上bp,我们直接对输入栏里进行注入试试 1 1’ 1” 发现1’会报错,所以这里的
阅读全文
摘要:页面很简单,跟我们平时遇到的登录窗口差不多,看看源码,没什么可用的信息 在bp抓一下,传repeater中go一下,也没看到什么特别的地方,看来这道题应该是注入题了,尝试用户名1,1’,1”,1#,1’#,1”#,1),1’),1”),1’)#,admin......,其中发现输入admin和1’时
阅读全文
摘要:进去就让我们输入key,就很真实。 看看源代码有没有什么可以获取的信息 。。。。好吧,这道题不像是代码审计,可能是注入 试试在key后面注入试试吧 输入1’,1”,1#,1’)。。。。都没有反应,看来不是注入了 用bp抓包传入repeater看看 Request中好像没有什么,不多说,go一下看re
阅读全文
摘要:点开 一个警告然后告诉我们不被允许进入,需要我们安装.net framework 9.9,在英国,使用ie浏览器。。。。。。 看到第一条和第三条我本以为是真的,但看到英国就肯定这是欺骗我们的信息,所以我们要欺骗系统或则绕过系统 这里就直接bp抓包然后传入repeater中 在user-agent一栏
阅读全文
摘要:打开界面,点查看源码 明显是一道代码审计题,(具体有多明显我就不多说了 那我们就撇脚地审计一下:如果我们的GetIPs的值是1.1.1.1就打印key,具体的GetIPs函数: 意思是入门可以让$_SERVER["HTTP_CLIENT_IP"]等于1.1.1.1就行了 这里直接使用bp抓包然后修改
阅读全文
摘要:①使用sqlmap sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" --dbs 查数据库名 sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db --t
阅读全文
摘要:不多说,直接使用脚本跑 获取数据库名称 然后再获取数据表,列,flag 获取flag (flag有点长,要跑一会儿)
阅读全文
摘要:打开页面看到提示 让我们看看响应头 我们用bp抓包然后穿repeater中go一下 得到 Flag似乎是个加密的字符串 使用bp自带的解码功能获取flag字符串 输进去尝试结果是错的。。。连续几次发现flag后面是随机生成的,是没有那么简单,看来我们想多了。。。。 似乎是要够快,要快就要用脚本 直接
阅读全文
摘要:使用万能密码1’=’0 直接得到了flag 有时候系统判定username和password值为布尔1时直接用万能密码就可以破开了
阅读全文
摘要:查看源码找到关键字段 搜一下md5函数 MD5(string,raw)raw 可选,默认为false *true:返回16字符2进制格式 *false:返回32字符16进制格式 所以构造payload:SELECT * FROM admin WHERE username = 'admin' and
阅读全文
