刷题记录:[GWCTF 2019]你的名字
目录 flask SSTI 黑名单过滤逻辑错误 题目复现链接:https://buuoj.cn/challenges flask SSTI {{被过滤,用{% ...
原文:刷题[GWCTF 2019]你的名字
解题思路 打开发现需要输入名字,猜测会有sql注入漏洞,测试一下发现单引号被过滤了,再fuzs下看看过滤了哪些 长度为 和 的都有过滤,测试一下,感觉不是sql注入了。那还有什么呢,考虑了ssti 使用 ,我直接傻了,怎么python的后端会报php的错,这里直接思路断了,找了其他的也没有发现有什么。直接看wp了,wp说看到返回头后发现是python写的后端,我这也没看出来有啥啊,希望有师傅知道的 ...
2020-08-18 15:21 0 956 推荐指数:
相关推荐
刷题记录:[GWCTF 2019]枯燥的抽奖
目录 刷题记录:[GWCTF 2019]枯燥的抽奖 知识点 php伪随机性 刷题记录:[GWCTF 2019]枯燥的抽奖 题目复现链接:https://buuoj.cn/challenges 参考链接:2018SWPUCTF-Web全 ...
刷题记录:[GWCTF 2019]我有一个数据库
目录 刷题记录:[GWCTF 2019]我有一个数据库 知识点 phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞 刷题记录:[GWCTF 2019]我有一个数据库 题目复现链接:https://buuoj.cn ...
[GWCTF 2019]枯燥的抽奖
0x00 知识点 种子爆破 工具 http://www.openwall.com/php_mt_seed 0x01 解题 查看源码进入check.php 发现mt_scrand(),mt_ ...
刷题[RoarCTF 2019]Easy Java
前置知识 WEB-INF/web.xml泄露 java web工程目录结构 Servlet访问URL映射配置 由于客户端是通过URL地址访问Web服务器中的资源,所以Servle ...
BUUCTF--[GWCTF 2019]xxor
测试文件:https://www.lanzous.com/ib5y9cb 代码分析 这段代码,对输入数字的处理,我们可以分成两部分 第36~43行代码,输入整型数组变换 ...
BUUCTF [GWCTF 2019]pyre WriteUp
题目地址 https://buuoj.cn/challenges#[GWCTF%202019]pyre 题解 先安装uncompyle py -3 -m pip install uncompyle 然后执行指令,弄出一个.py文件 uncompyle6.exe ...
BUUCTF--[GWCTF 2019]re3
测试文件:https://lanzous.com/ic9ox7a SMC自修改代码 代码分析 首先,我们使用插件Findcript可以发现,这段程序中存在的加密方式: 去混淆 ...