摘要:
[极客大挑战 2019]Upload 从页面上来看是上传一个图片文件,但是不知道是怎样检查的,要先试一试 一般可以检查的地方有: 后缀名、content-type、文件头的部分内容 先上传一个php,不做任何修改 接下来试一下phtml+修改content-type phtml一般是指嵌入了php代 阅读全文
摘要:
[极客大挑战 2019]Secret File 打开来漆黑一片 但是检查源码会发现有一行没有显示出来 这是一个链接,点开: 再点开: 但是控制台的网络选项里可以看到: 这个action.php没有看到 直接访问action.php也会立刻跳转到end.php 所以抓包,看到了一个secr3t.php 阅读全文
摘要:
[极客大挑战 2019]RCE ME 这道题不是很好做,我本人其实也不太会,有问题欢迎指出~ 打开题目是这样的 代码的大概意思是GET方式获取code,如果长度超过40 不执行,含有字母数字不执行,满足条件就当做php执行并且不报错 可以用异或或者取反绕过 参考:https://www.cnblog 阅读全文
摘要:
[极客大挑战 2019]PHP 知识点: 1.网站的备份文件:www.zip 2.Php 反序列化漏洞:当反序列化字符串时,如果表示属性个数的值大于真实属性个数,就会跳过_wakeup函数的执行 备份泄露,应该可以用工具扫目录扫出来,但是不知道为什么用御剑和dirbuster都扫不出来。直接在url 阅读全文
摘要:
[极客大挑战 2019]Knife 打开 提示很明显,有一个菜刀,还有一句话木马也挂上了..需要做的就是把蚁剑或者菜刀连上去 直接就可以打开系统文件夹 在根目录下发现flag 阅读全文
摘要:
[极客大挑战 2019]Havefun 知识点:简单的get请求发送? 打开控制台,发现注释 尝试输入: ?cat=cat 没有回显 尝试输入: ?cat=dog 直接出flag 阅读全文
摘要:
[极客大挑战 2019]BuyFlag 题目 题目有三个要求,一是有100000000块钱,二是要求是CUIT的学生,三是有正确的密码。 检查代码,发现一段注释。意思是检查password,不能使数字类型,但是值要为404.很容易想到php的弱类型,在404后面加字符变成字符串类型,比较的时候会自动 阅读全文
摘要:
[RoarCTF 2019]Easy Calc #题目 题目打开是这样的 查看源码 .ajax是指通过http请求加载远程数据。 可以发现有一个calc.php,输入的算式会被传入到这个php文件里,尝试一下能不能打开 可以打开,并且显示了源码 foreach 语法结构提供了遍历数组的简单方式。 语 阅读全文
摘要:
1.Referer&2.User-Agent&3.X-Forwarded-For 阅读全文
摘要:
sql注入--sql盲注 阅读全文
摘要:
sql注入--报错注入 阅读全文
摘要:
简单sql注入2 阅读全文
摘要:
简单sql注入1 阅读全文
摘要:
#问题描述 已安装pillow ,但是在pycharm 和 python 自带的编辑器中编译都失败 问题代码: from Pillow import Image #解决 一开始以为是pycharm的问题,解决方法参考: https://blog.csdn.net/qq_35120460/articl 阅读全文