今天做了攻防世界WEB高手进阶的两题，虽然步骤就这么几步，但是由于自己很菜，所以查阅资料、寻找突破点花了不少时间。 一、ics-06 打开题目，点来点去，发现除了报表中心，点击其他任何地方都只会返回一个页面，这也符合题目描述： 报表中心是这么个界面，并不能输入 ...

题目描述 工控云管理系统新添加的登录和注册页面存在漏洞，请找出flag。 题目截图 解题过程 （1）跟具题目描述，可以确定解题焦点应该放在登录界面跟注册界面 我们先尝试注册一个用户 ...

打开网址 根据题意点开报表中心（因为其他的点开都一样，不信你试试） 会看见id =1 想到burp爆破id 所以打开burp抓包（不会抓包的百度 或者看我web新手区，有一题就有抓包 我说的很详细） 右击 然后你会发现 会发现id=2333时候 ...

攻防世界 ics-07 点击之后发现有个项目管理能进，点进去，点击看到源码，如下三段 大概思路是在id满足第三段代码的情况下，使$_SESSION['admin'] = True。然后在以POST方式提供con和file，当file满足条件时，会将con的内容写入uploaded ...

攻防世界 ics-02 writeup 学习笔记 emmm因为ssrf是对.pdf文件的下载，访问页面不出来的原因，做题的时候有点懵， 拿到题后，爆破目录有/secret/ 里面有secret.php 和 debug_secret.php ebug_secret.php是要求内网 ...

日常练习做题 打开环境 是这样的页面 ，老规矩 扫目录，在扫目录的时候点一下功能 点发帖，随便填写内容 到了登录页面，要登录才行 这个登 ...

题目描述 无 题目截图 解题过程 查看robots.txt 存在login.php，admin.php dirsearch 访问login.php 查看源代码，发现提示信息 ...

打开题目，得到一个网页，包含一个表格、两个按钮。 习惯性先查看网页源码，但没发现有效信息。 打开login.php，是一个登录页面，随手试了几个弱口令和SQL注入，没有成功，查看网页源码， ...