一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]BabySQL 二、解法步骤 本题是SQL注入,那么先尝试万能密码:1' or 1=1# 发现or后面的东西都失效了,猜测对or进行了过滤,这里用双写绕过试试:1' oorr 1=1
https://adworld.xctf.org.cn/challenges/list 解决思路:因为说的是前端的button坏掉了,于是我们用查看器查看他的页面源代码,发现有个disabled,就是不能的意思 将disabled 删掉即可! 总结:前端JS代码查看修改 weak_auth https://adworld.xctf.org.cn/challenges/list 暴力破解,蹭运气 我真就是随便输入了几个数,...
https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]LoveSQL 打开题目的实例 思路 看到这个熟悉的界面,看到最上面那个文字,这是故意提示我们不要有灵魂吗?纠结了一番,先不要灵魂试试? 首先使用万能密码 然后它提示这么一段 sqlmap 一个用来做sql注入攻击的工具,需要的环境是python2 网址 http://sqlmap....
CTP平台:buuoj.cn/challenges 题目:Web类,[极客大挑战 2019]LoveSQL 打开题目的实例 看到熟悉界面与提示,尝试忽略灵魂元素,进行攻击 使用万能密码 接收到SQLmap工具的提示,用于SQL注入攻击,需要Python2环境,下载并测试 执行测试未成功,恢复攻击策略 采用爆破法尝试获得数据库字段 输入#符号,地址栏使...
CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]FinalSQL 打开题目的实例 思路 SQl的题目,首先试一试万能密码(虽然不可能,但是还是得试一下) 试一下双写 看来被封死了,想想其他的办法,可以使用extractvalue和updatexml进行报错注入,空格和=号没有,所以我们要使用()来代替空格,使用like来...
orangetw/My-CTF-Web-Challenges l4wio/CTF-challenges-by-me otakekumi/CTF-Challenge eboda/34c3ctf firesunCN/My_CTF_Challenges munsiwoo/ctf-web-prob google/google-ctf sixstars/starctf2018 Nu1LCTF/n1ctf-2018 wonderkun/CTF_web zsxsoft/my-rctf-2018 ...
My CTF Web Challenges This is the repository of all CTF challenges I made, including the source code, write-up and idea explanation! Hope you like it :) P.s. BTW, the Babyfirst series and One Line PHP Challenge are my favorite challenges. If you haven't enough time, please look them...
My CTF Web Challenges This is the repository of all CTF challenges I made, including the source code, write-up and idea explanation! Hope you like it :) P.s. BTW, the Babyfirst series and One Line PHP Challenge are my favorite challenges. If you haven't enough time, please look them...
CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]Http 打开题目的实例 思路 看到http类的题目,打开burp,记得我们上次安装过 找到下面的Secret.php文件,进入相应的页面 我们需要修改header头,把https://www.Sycsecret.com写进去,复制一个头文件,添加关键的一行 ...
【笔记】结合CTF理解Web安全 最近拜读了一下道哥的《白帽子讲Web安全》,主要是想开阔学习一下,堪称互联网最大入口的Web服务中的安全知识。无论黑客是从客户端,还是服务端发起的漏洞攻击,都能从中见识到这些黑客的顶级智慧和脑洞,他们有着深厚的网络和操作系统知识,开发出各种脚本和工具,有的大师甚至开源出来,用以...