XCTF-unfinish
unfinish 之前做过这个题,这是之前写的WP:链接 ...
原文:CTFHub-unfinish
unfinish 打开是一个手机模板的登录页面,看了下源码,发现有个文件夹. uploads ,乱扫一通什么都没有 还是到登陆页面,先试试万能密码 有提示,看了下input标签,是前端检测,用burp抓包开始fuzz 尝试了请求头,email和password注入,包括post数组尝试报错,都没有用 emmmmm,思路断了 去看了wp,发现是要尝试注册页面,接着做 思路太窄了 登陆进来什么都没有, ...
2020-04-13 11:50 2 934 推荐指数:
相关推荐
攻防世界-unfinish(再遇SQL)
打开实验环境: 实验准备:Firefox 或 Chrome、python环境、御剑(用于扫描目录) 非必须准备(不准备这个也能做题):Burp(SQL注入利器)、Vscode 或 Pycharm( ...
[网鼎杯2018]Unfinish
注册用了邮箱、账户名、密码,登录只用了邮箱和密码,登录进去后账户名显示出来了,推测存在二次注入 过滤了逗号和information,无法使用information_schema,猜测flag在fl ...
CTFHUB-文件包含
思路:利用文件包含执行shell.txt文件,以拿到shell http://challenge-4b90ab5ce47f595f.sandbox.ctfhub.com:10080/?file=shell.txt 点开shell文件 拿到flag ...
攻防世界-web-unfinish(sql二次注入)
题目来源:网鼎杯 2018题目描述:SQL 题目如下,是个登录页面 通过awvs扫描得知存在 register.php 注册页面,并且注册界面存在SQL盲注漏洞。 题目提示SQL,在注册 ...
[ctfhub]SQL注入
今天在ctfhub整理了几个sql注入的解题过程,还算是比较详细的。 知识点都是比较常见的:每个题大致涉及的知识点用一张表格解释 !注:下方的 information_schema.xxxxxxxxxxxxxx皆表示 information_schema库下的表 ...
ctfhub技能树—彩蛋
彩蛋题建议大家首先自己动手去找一找 做 好 准 备 后 再 看 下 文 ! 1、首页 使用域名查询工具查询子域名 2、公众号 此题关注ctfhub公众号即可拿到 ...
CTFHUB 信息泄露
可用扫描工具尝试扫描(disearch、御剑等) 目录遍历 Method One 直接手动遍历 Method Two PHPINFO Ctrl+F搜索flag 要注意下ctfhub后面有个空格,要删掉 备份文件下载 网站源码 拿disearch扫一下 可以发现 ...