XCTF-unfinish
unfinish 之前做過這個題,這是之前寫的WP:鏈接 ...
原文:CTFHub-unfinish
unfinish 打開是一個手機模板的登錄頁面,看了下源碼,發現有個文件夾. uploads ,亂掃一通什么都沒有 還是到登陸頁面,先試試萬能密碼 有提示,看了下input標簽,是前端檢測,用burp抓包開始fuzz 嘗試了請求頭,email和password注入,包括post數組嘗試報錯,都沒有用 emmmmm,思路斷了 去看了wp,發現是要嘗試注冊頁面,接着做 思路太窄了 登陸進來什么都沒有, ...
2020-04-13 11:50 2 934 推薦指數:
相關推薦
攻防世界-unfinish(再遇SQL)
打開實驗環境: 實驗准備:Firefox 或 Chrome、python環境、御劍(用於掃描目錄) 非必須准備(不准備這個也能做題):Burp(SQL注入利器)、Vscode 或 Pycharm( ...
[網鼎杯2018]Unfinish
注冊用了郵箱、賬戶名、密碼,登錄只用了郵箱和密碼,登錄進去后賬戶名顯示出來了,推測存在二次注入 過濾了逗號和information,無法使用information_schema,猜測flag在fl ...
CTFHUB-文件包含
思路:利用文件包含執行shell.txt文件,以拿到shell http://challenge-4b90ab5ce47f595f.sandbox.ctfhub.com:10080/?file=shell.txt 點開shell文件 拿到flag ...
攻防世界-web-unfinish(sql二次注入)
題目來源:網鼎杯 2018題目描述:SQL 題目如下,是個登錄頁面 通過awvs掃描得知存在 register.php 注冊頁面,並且注冊界面存在SQL盲注漏洞。 題目提示SQL,在注冊 ...
[ctfhub]SQL注入
今天在ctfhub整理了幾個sql注入的解題過程,還算是比較詳細的。 知識點都是比較常見的:每個題大致涉及的知識點用一張表格解釋 !注:下方的 information_schema.xxxxxxxxxxxxxx皆表示 information_schema庫下的表 ...
ctfhub技能樹—彩蛋
彩蛋題建議大家首先自己動手去找一找 做 好 准 備 后 再 看 下 文 ! 1、首頁 使用域名查詢工具查詢子域名 2、公眾號 此題關注ctfhub公眾號即可拿到 ...
CTFHUB 信息泄露
可用掃描工具嘗試掃描(disearch、御劍等) 目錄遍歷 Method One 直接手動遍歷 Method Two PHPINFO Ctrl+F搜索flag 要注意下ctfhub后面有個空格,要刪掉 備份文件下載 網站源碼 拿disearch掃一下 可以發現 ...