Web 151考点:后端无验证,前端校验查看源码可以发现只能上传png图片 修改为php写一个php文件上传一句话木马 可以发现已经成功上传查看上级目录发现可疑文件 查看flag.php文件内容得出flag 得到flagWeb 152考点:绕过前端校验解题思路: 经过一系列的方法测试上题的解题方法并不适用于本题。直接改前端,后端会校验,文件不合格。那就抓
转载
2024-08-12 20:50:05
1073阅读
ctfshow web萌新16 直接get传参得到flag ...
转载
2021-04-09 08:03:00
504阅读
CTF-Web入门12题1.View_Source就是如何查看源代码。Sol2.robots 爬虫协议如果robots.txt 不是在根目录下,可以用dirsearch 暴力扫。git clone https://github.com/maurosoria/dirsearch.gitcd dirsearchpython
原创
2021-09-10 11:11:28
2157阅读
点赞
1评论
CTF-Web入门12题
1.View_Source就是如何查看源代码。Sol
2.robots 爬虫协议如果robots.txt 不是在根目录下,可以用dirsearch 暴力扫。git clone https://github.com/maurosoria/dirsearch.gitcd dirsearchpython dirsearch.py -u http://111.200.241.2
原创
2022-01-20 15:04:14
1060阅读
首先知道该页面存在sql注入。先判断是否存在注入点。发现是单引号闭合注入。通过页面回显信息判断当前列数判断页面中可以回显的点爆库名使用命令:0’ union select table_name,2,3,4 from information_
原创
2022-02-15 11:07:44
998阅读
首先知道该页面存在sql注入漏洞。先判断是否存在注入点。发现是单引号闭合注入。通过页面回显信息判断当前列数判断页面中可以回显的点爆库名使用命令:0’ union select table_name,2,3,4 from information_schema.tables where table_schema=‘skctf_flag’#爆表名使用命令‘:0’ union sele...
原创
2021-09-03 09:51:30
4506阅读
最近开始入门web,分享几道入门级的题目,以...
原创
2021-08-13 15:31:56
434阅读
文章目录web签到unset慢慢做管理系统web签到一个最近刚爆出来的php后门,直接一把
原创
2022-10-27 06:31:28
53阅读
1.不是SQL注入 2.需要找关键源码进入页面发现是一个登录框,很难让人不联想到SQL注入,但提示都说了不是SQL注入,所以就不往这方面想了先查看一下网页源码,发现一段JavaScript代码,有一个关键类ctfshow其关键位置在oReq.open这里,显示的是以POST方法,请求check.php页面,并且传入值token=变量token然后接上php://input直接访问check.php页面,可以看到一个Josn页面,我们直接按照页面源码中的提示来访问一下提示md5 error然后利用目
前言最近学校也在招新,基本没什么时间做题,最近也很少发博客。就写几道题来充充数吧。正文fakebook我的思路呢,只有一点沾边了,记一下现在的思考:
原创
2021-09-13 22:08:39
2367阅读
本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我仅作为自己的笔记及刚入门的童鞋,大牛勿喷基础篇 1.直接查看源代码 http://lab1.xseclab.com/base1_4a4d993ed7bd7d467b27af52d2aaa800/index.php 2.修改或添加HTTP请求头 常见的有:Refere
转载
2023-08-10 23:33:03
0阅读
欢迎光顾我的新博客:https://www.giantbranch.cn本文链接:http://blog.csdn.net/u012763794/article/details/50959166本文根据自己的做题...
原创
2021-08-13 15:12:02
960阅读
SQL注入题型并没有想象中的那么难,首先一定要有一个明确的思路,本文正是一篇总结思路的文章。
三步法:一、找到注入点二、Fuzz出未过滤字符三、构造payload/写脚本 例题1打开题目: 第一步,寻找注入点。输入用户名123456,密码123456,返回结果username error!输入用户名admin,
转载
2024-05-19 09:28:30
161阅读
前言对常见的编码进行总结并记录一些编解码的网站和工具常见编码1、ASCII编码 可以分作三部分组成 第一部分是:ASCII非打印控制字符 第二部分是:ASCII打印字符; 第三部分是:扩展ASCII打印字符在线转换器ASCII编码转换2、base64、32编码Base64是网络上最常见的用于传输8Bit字节码的编码方式之一· 基于64个可打印字符来表示二进制数据的方法
· 3个字节可表示4个可打
转载
2024-04-29 09:53:17
441阅读
在信息安全领域,CTF(Capture The Flag)比赛是一种比拼技术能力和解决问题技巧的挑战,而"ctf架构题"则侧重于系统架构及其相关设计的能力。这类题目不仅要求参赛者具备扎实的技术知识,还需要其灵活应用各种概念,从而构建一个可行的系统架构。本文将对此过程进行详细的复盘记录。
```mermaid
flowchart TD
A[CTF 架构题解析] --> B[理解问题需求]
xss学习:http://xsst.sina...
原创
2021-08-13 14:29:09
422阅读
ctfshow web13 文件上传 试了好多文件名 都没有上传成功 没有突破点就扫一下目录 御剑扫出upload.php 加上.bak 尝试一下源码泄露 <?php header("content-type:text/html;charset=utf-8"); $filename = $_FILE ...
转载
2021-04-24 21:41:00
593阅读
ctfshow web假赛生 看源码 需要name为admin 才可以输出flag 看到一个函数 preg_replace_callback 函数执行一个正则表达式搜索并且使用一个回调进行替换 知乎一哥们把回调解释的很清楚 就是说在$subject中搜索$pattern 如果匹配到 就调用回调函数$ ...
转载
2021-04-24 19:47:00
401阅读
2评论
ctfshow web14 打开 <?php include("secret.php"); if(isset($_GET['c'])){ $c = intval($_GET['c']); sleep($c); switch ($c) { case 1: echo '$url'; break; cas ...
转载
2021-06-15 23:07:11
498阅读
这一阶段我们将会开始接触逆向(REVERSE)类的题目题目:第一题是WELCOMEBACK的一个文件找到通过软件校验的flag,之后做md5sum填入flag{}里面就是flag了(有点绕)比如你找到了软件要校验的flag是“I LOVE YOU”echo "I LOVE YOU" | md5sum然后得到一个md5值,填入flag{}里面就是flag了(有些Terminal无法识别的话,可以写个
