[NCTF2019]SQLi
regexp注入 robots.txt hint.txt 可以看到过滤了很多东西,这里考虑regexp正则注入 正常查看一下用户 匹配成功会返回1 匹配失败返回0 ...
原文:[NCTF2019]SQLi
知识点 基于regexp的盲注 审题 很简洁 又是个sql注入题 而且题目把sql语句已经放在了题目下面 甚至和注入类型都告诉你是字符型了 我已经能想到这道题的waf会有多丧心病狂 fuzz一下 解题思路 嚯 这过滤 基本的手工 盲注全部都不行 继续审题 尝试着挣扎了一会没啥进展 瞟了一眼别人的wp 竟然把hint藏在robots.txt里面 题目很明确的告诉了我们过滤的字段以及我们的目标 只要找 ...
2020-11-25 16:02 0 646 推荐指数:
相关推荐
[NCTF2019]SQLi
[NCTF2019]SQLi robots.txt有个hint.txt hint.txt说只要密码对就给flag Mysql的正则表达式 regexp ...
NCTF2019 Keyboard
题目 ooo yyy ii w uuu ee uuuu yyy uuuu y w uuu i i rr w i i rr rrr uuuu rrr uuuu t ii uuuu i w u r ...
[NCTF2019]babyRSA
拿到压缩包,解压后得到一个加密脚本 加密脚本告诉了c和d,e这三个量的值,由RSA加密原理可以知道: ed=1%(p-1)(q-1) 所以可以得到ed-1=k*(p-1)(q-1)通过加密算法大 ...
[NCTF2019]Fake XML cookbook
0x00 知识点 XXE攻击 附上链接: https://xz.aliyun.com/t/6887 XXE(XML External Entity Injection)全称为XML外部实体注入 ...
[NCTF2019]True XML cookbook
知识点 XXE探测内网 一如既往的登录框 抓包,添加外部注入实体,读取/etc/passwd 读取历史操作命令.bash_history失败 读取 ...
[NCTF2019]True XML cookbook
[NCTF2019]True XML cookbook 爆破 抓包爆破,想直接爆出密码。 然鹅我天真了。 XXE漏洞 这里存在XXE漏洞,利用脚本直接打: 构造: 没有哦····· 打内网 XXE漏洞可以直接攻击内网用户,先查看内网存活主机: 看到了本机ip ...
XXE漏洞学习和利用—[NCTF2019]Fake XML cookbook
引言 记录一下XXE的学习要点。 XXE XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟 ...