簡介 原題復現：[極客大挑戰 2019]BuyFlag 考察知識點:php函數特性(is_numeric()、strcmp函數()) 線上平台:https://buuoj.cn（北京聯合大學公開的CTF平台 特別感謝！） 榆林學院內可使用信安協會內部的CTF訓練平台找到此題 復現 ...

記得比賽的時候我用的是報錯注入 隨便輸入用戶名和密碼進行抓包。 用戶名輸入單引號之后報錯，簡單測試一下and or這些被過濾掉了 使用^異或符號替換and 證明可以使用^替換，^符號未被過濾，添加報錯注入的payload，報錯 ...

0x00 知識點 報錯注入 鏈接： https://www.cnblogs.com/richardlee97/p/10617115.html 報錯原因： 其原因主要是因為虛擬表的主鍵重復。按照MySQL的官方說法，group by要進行兩次運算，第一次是拿group by后面的字段值到虛擬表 ...

來到sql注入騷姿勢，我們一點一點開始學 我們來到這道題，然后嘗試注入，結果發現 拼接'or '1'='1 　　'or '1'='2如果是字符型注入則會報錯，然而並沒有而是顯示的頁面一樣， 通過常規注入，回顯的頁面都是 最后，我們發現這道題是xpath報錯注入，函數注入 ...

前言 之前復現了一下極客大挑戰2019的Havefun感覺非常的簡單，應該是我沒有參加極客大挑戰把，對這些題沒啥印象。復現完Havefun之后接着做了做EasySQL發現這也是一道非常基礎的題 復現 初次相遇 我們打開題目鏈接發現是一個充滿黑客色彩的登錄頁面 發現沒有注冊的功能 ...

[極客大挑戰 2019]Secret File 復現 知識點 前端中背景可以覆蓋內容，頁面源代碼可以查看完整的html 在php文件中可以寫入html代碼，html可在前端展示出來，php代碼主要是處理數據，通常不會展示。 文件包含漏洞，PHP偽協議獲取文件 php ...

updatexml()函數 updataxml()函數用法 第一個參數：XML_document是String格式，為XML文檔對象的名稱，文中為Doc 第二個參數：XPath_string (Xpath格式的字符串 ...

前言 這是一道非常簡單基礎的CTF題，好久都沒有遇到這種簡單的題了，讓我看到了生活的希望，對未來充滿了向往 題目鏈接：https://buuoj.cn/challenges#[極客大挑戰 2019]Havefun （https://buuoj.cn里面web類的[極客大挑戰 2019 ...