一.判断注入类型 输入username=1'&password=2 发现报错的地方是password部分,报错内容是2' 输入username=1&password=2' 报错内容是2' 由此可以推断出应该使用字符型注入。 个人推测 以下内容是个人的想法,若有误,欢迎指出。 当输入的参数 x 为整型时,通常 abc.php 中 SQL 语句类型大致如下: select * from <...
之后就开始在登陆页面找有没有注入点,发现也好像没有,然后开始看登陆页面的开发者模式下的源代码,看了好久也没看出什么 想不出来就拿sqlmap试,然后被ban了ip,拿dirsearch扫描也被ban了ip 最后想着要不然找找看软件有没有漏洞,就发现了typecho在17年爆出来的任意执行代码的漏洞 网上找的代码,改写成一句话木马,序列...
I also have a blog here, it is mostly CTF writeups now and most of them are written in Chinese. Links Blog Twitter Telegram Pinned Loading GDIndex Public A Google Drive Index built with Vue Running on CloudFlare Workers HTML 1.9k 1.1k My-CTF-Challenges Public Challenges I created ...
经过最近几次类线下的演练,感觉慢慢对CTF有点上手了,这次终于不再爆0了,继续努力 MISC 签到 wireshark打开可知是shell流量,命令结果编码为hex+base64。观察前面几条whoami/ls等命令输出可知每行输出都是倒序输出。 故将cat /f14g|base64的结果每行倒序拼接解码后得到flag的编辑记录,去除双写得到flag。 你知道apng...
(-) create mode 100644 assets/leaderboards-on-the-hub/thumbnail_llamaguard.png diff --git a/_blog.yml b/_blog.yml index 795d66fa35..322f2b3cd5 100644 --- a/_blog.yml +++ b/_blog.yml @@ -4075,7 +4075,7 @@ - local: leaderboard-llamaguard title: "CyberSecEval 2 - A ...
CTF Reverse Write up 逆向 2d buuctf(web):[CISCN2019 华东南赛区]Web11 打开链接是 首先能关注到 1.X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP ...
题目【BugkuCTF】web2 解题 一.尝试 打开场景,是一个叫做随机数生成器的页面,点击刷新会出现不同的题目,有点像登录的验证码。 而题目的结果全是两位数或者三位数的答案。 但是往输入框填入数字的时候发现只能写入一个数,就算是填字母也只能填一个。 由此初步判断是HTML
一. GET提交 这里使用hackbar更加轻松。 二.POST提交 勾选Post data 得到flag:cyberpeace{c2fb2640c44491c521f51c87b36b3ab4} GET与POST GET和POST是HTTP请求的两种基本方法,最直观的区别就是GET把参数包含在URL中,POST通过request body传递参数。 GET请求只能进行URL编码,而POST支持多种编码方式。
"key": "WelcomeToTheGKCTF2021XXX", "iv": "1Ssecret" 接着发现此处key共有24byte,因此推测为3des,因此进行相应的爆破即可得到第一段flag,后面几段的解题脚本如下: sha256 -> 4位 import hashlib import string import itertools dateset = string.ascii_lowercase + string.digits res = "6e2b55c78937d...