原文:CTF [极客大挑战 2019]Secret File 复现

极客大挑战 Secret File 复现 知识点 前端中背景可以覆盖内容,页面源代码可以查看完整的html 在php文件中可以写入html代码,html可在前端展示出来,php代码主要是处理数据,通常不会展示。 文件包含漏洞,PHP伪协议获取文件 php: filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式 all in one 的文件函数非常有用,类似 read ...

2020-01-31 11:30 0 6085 推荐指数:

查看详情

[极挑战 2019]Secret File

0x00知识点 没有过滤file 使用php的file伪协议去读取文件 0x01解题 打开网站存在跳转。抓包,访问 http://152518b2-d342-4872-8adc-b5bcec554a4d.node3.buuoj.cn/secr3t.php 给了我们源代码 直接使用 ...

Mon Jan 13 04:41:00 CST 2020 0 777
[极挑战 2019]EasySQL CTF复现

前言 之前复现了一下极挑战2019的Havefun感觉非常的简单,应该是我没有参加极挑战把,对这些题没啥印象。复现完Havefun之后接着做了做EasySQL发现这也是一道非常基础的题 复现 初次相遇 我们打开题目链接发现是一个充满黑客色彩的登录页面 发现没有注册的功能 ...

Tue Jan 28 06:15:00 CST 2020 1 5917
[极挑战 2019]Havefun (一起来撸猫) CTF复现

前言 这是一道非常简单基础的CTF题,好久都没有遇到这种简单的题了,让我看到了生活的希望,对未来充满了向往 题目链接:https://buuoj.cn/challenges#[极挑战 2019]Havefun (https://buuoj.cn里面web类的[极挑战 2019 ...

Tue Jan 28 05:41:00 CST 2020 0 2455
[极挑战 2019]PHP CTF题解与分析

知识点 php序列化与反序列化 序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等 反序列化:函数为unserialize(),将字符 ...

Wed Feb 19 01:31:00 CST 2020 0 887
[原题复现][极挑战 2019]BuyFlag

简介 原题复现:[极挑战 2019]BuyFlag 考察知识点:php函数特性(is_numeric()、strcmp函数()) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 复现 ...

Sat Feb 15 23:24:00 CST 2020 0 2618
[原题复现][极挑战 2019]HardSQL(updatexml报错注入)

简介 原题复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 复现 经过手工测试过滤了and、= 空格 union等多个sql关键字 ...

Sat Feb 15 21:21:00 CST 2020 0 1210
[极挑战 2019]EasySQL

[极挑战 2019]EasySQL 2020年7月15日 绕圈子的解法 1.测试简单注入语句 有报错回显 所以密码框存在注入,可以用’闭合 当输入2”时,正常返回密码错误 接下来用%23作注释符,可以得到页面正常。 sql中用#作为注释,这是用get传递数据,用url编码一下 ...

Wed Jul 15 20:59:00 CST 2020 0 1722
[极挑战 2019]PHP

[极挑战 2019]PHP 知识点: 1.网站的备份文件:www.zip 2.Php 反序列化漏洞:当反序列化字符串时,如果表示属性个数的值大于真实属性个数,就会跳过_wakeup函数的执行 备份泄露,应该可以用工具扫目录扫出来,但是不知道为什么用御剑和dirbuster都扫不出来。直接 ...

Thu Jul 16 06:27:00 CST 2020 0 1759
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM