BUUOJ [WUSTCTF2020]朴实无华
[WUSTCTF2020]朴实无华 复现了武科大的一道题/// 进入界面 一个hack me 好吧,直接看看有没有robot.txt 哦豁,还真有 好吧 fAke_f1agggg.php 看了里面,然后在响应头里面有个fl4g.php ...
原文:BUUCTF-[WUSTCTF2020]朴实无华(代码审计)
在title看到bot,访问robots.txt 继续访问 fAke f agggg.php 在响应头发现 fl g.php: 得到源码: 第一层: 发现intval 函数在处理字符串型的科学计数法时,只输出e前面的数字 马上测试: 运行结果: 发现 a ,如果 a是字符串型的科学计数法, a 后, a会强制转换为数字 所以,url: fl g.php num e 第二层: 要求字符串md 后还 ...
2020-04-08 11:33 0 1269 推荐指数:
相关推荐
[WUSTCTF2020]颜值成绩查询
[WUSTCTF2020]颜值成绩查询 整数型注入,盲注。 速度快,一定要二分法。 爆库名:ctf 二分法核心payload 回显结果参考下图: 爆表 flag,score 回显结果参考下图: 爆列名 爆出flag和value两个字段 爆 ...
BUUCTF-CODE REVIEW 1(代码审计)
0、打开靶机后,是php源码 1、第一层是GET,POST传参 2、第二层md5绕过 3、第三层是php反序列 得到的字符串: O:3:"BUU":2:{s:7 ...
WUSTCTF2020 佛说:只能四天
题目 虽然有点不环保,但hint好像是一次性的,得到后就没有利用价值了。 凯撒不是最后一步,by the way,凯撒为什么叫做凯撒? 尊即寂修我劫修如婆愍闍嚤 ...
[WUSTCTF2020]颜值成绩查询
知识点 布尔盲注 输入1 成绩100 输入2 成绩666 输入2-1 成绩100 判断为布尔型数字盲注 贴一下脚本 ...
刷题[WUSTCTF2020]CV Maker
解题思路 好家伙,打开一看像是cms,又看名字CV Maker。我以为直接要搜cve打了。搜了一会发现没什么啊。那先正常做把。 注册 注册成功后这里报错,猜测可能有注入点。先放在这里,继 ...
2020/2/21 fiyocms代码审计
0x00 前言 上午上了网课,一上午就装好了cms,下午还有网课,要是结束的早就进行审计。 解决了一下phpstudy使用过程中: 解决方法: 加个index.php等入口文件 2: 其他选项菜单->软件设置->允许目录列表 0x01 通读代码 先看入口文件 ...
2020/1/30 PHP代码审计之文件上传漏洞
0x00 漏洞简介 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击是最为直接和有效的,“文件上传”本身是没有问题,有问题的是文件上传后,服务器 ...