随笔分类 - 刷题笔记
摘要:WEB基础 六、文件上传 1、无验证 无验证的话,直接上传一个一句话木马试试 利用哥斯拉生成php木马 将生成的文件上传 利用哥斯拉连接,进入 进入文件管理,查看flag 2、前端认证 将第一关利用哥斯拉生成的ctf.php文件修改后缀名,改为ctf.jpg 上传该文件,并用Bp拦截修改文件后缀名
阅读全文
摘要:## WEB基础 ### 五、XSS #### 1、反射型 该关卡刚开始不知道flag存在哪儿,刚开始只在name框中提交东西,但是无法获取到falg,查看了提示,然后流程大概是先在Name框中输入,提交,然后将提交之后的网址复制粘贴到提交url的框中,就可以得到falg - 利用beef工具来进行
阅读全文
摘要:## WEB基础 ### 四、SQL注入 #### 5、时间盲注 时间盲注和布尔盲注类似,只是在后面添加一个`and sleep(4)`来根据页面响应的时间来判断是否正确,所以该关卡直接用`sqlmap`跑了,工具`sqlmap`的常使用命令,`-r`参数是请求包`python3 sqlmap.py
阅读全文
摘要:## WEB基础 ### 二、信息泄露 #### 5、SVN泄露 当开发人员使用 SVN 进行版本控制,对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。 - 从网上搜了下关于利用svn漏洞的工具,有一个是svnExploit,但是好像由于配置的原
阅读全文
摘要:## WEB基础 ### 一、web前置技能树(http协议) #### 1、请求方式 本关卡的要求是改变请求的方式,将get请求修改为CTFHUB请求 