[網鼎杯 2020 朱雀組]phpweb-1|反序列化
- 2022 年 8 月 31 日
- 筆記
1、打開界面之後界面一直在刷新,檢查源代碼也未發現提示信息,但是在檢查中發現了兩個隱藏的屬性:func和p,抓包進行查看 …
Continue Reading
[CISCN2019 華北賽區 Day1 Web2]ikun-1
- 2022 年 8 月 26 日
- 筆記
考點:JWT身份偽造、python pickle反序列化、邏輯漏洞 1、打開之後首頁界面直接看到了提示信息,信息如下: …
Continue Reading
[RootersCTF2019]I_<3_Flask-1|SSTI注入
- 2022 年 8 月 25 日
- 筆記
1、打開之後很明顯的提示flask框架,但是未提供參數,在源代碼中發現了一個git地址,打開之後也是沒有啥用,結果如下: …
Continue Reading
[網鼎杯 2018]Comment-1|SQL注入||二次注入
- 2022 年 8 月 25 日
- 筆記
1、打開之後只有一個留言頁面,很自然的就想到了二次注入得問題,順帶查看了下源代碼信息,並沒有什麼提示,顯示界面如下: 2 …
Continue Reading[網鼎杯 2018]Comment-1|SQL注入|二次注入
- 2022 年 8 月 24 日
- 筆記
1、打開之後只有一個留言頁面,很自然的就想到了二次注入得問題,順帶查看了下源代碼信息,並沒有什麼提示,顯示界面如下: 2 …
Continue Reading
[BJDCTF2020]Mark loves cat-1|源代碼泄露|變量覆蓋
- 2022 年 8 月 17 日
- 筆記
主要考察了:源代碼泄露、變量覆蓋 共展示了三種獲取flag的方式 1、打開題目查看未發現有效信息,查看源代碼信息,發現返 …
Continue Reading
[護網杯 2018]easy_tornado-1|SSTI注入
- 2022 年 8 月 12 日
- 筆記
1、打開之後給出了三個連接,分別查看下三個連接內得信息,結果如下: 2、url中參數包含一個文件名與一串應該是md5得加 …
Continue Reading
[極客大挑戰 2019]HardSQL-1
- 2022 年 8 月 12 日
- 筆記
1、打開之後萬能密碼等均被過濾,那就先確定下過濾的內容,採用brup抓包進行爆破,發現對union進行了過濾,因此這裡就 …
Continue Reading
[MRCTF2020]套娃-1
- 2022 年 8 月 9 日
- 筆記
1、打開之後未發現有用的信息,右鍵檢查源代碼信息,發現部分代碼信息,結果如下: 2、對代碼進行分析:$_SERVER& …
Continue Reading
[GYCTF2020]Ezsqli-1|SQL注入
- 2022 年 8 月 8 日
- 筆記
1、打開界面之後在輸入框進行輸入測試,分別輸入1、2、3、』等字符,結果如下: 2、看到bool(false)這裡我想到 …
Continue Reading