刷題記錄:[GWCTF 2019]你的名字
目錄 flask SSTI 黑名單過濾邏輯錯誤 題目復現鏈接:https://buuoj.cn/challenges flask SSTI {{被過濾,用{% ...
原文:刷題[GWCTF 2019]你的名字
解題思路 打開發現需要輸入名字,猜測會有sql注入漏洞,測試一下發現單引號被過濾了,再fuzs下看看過濾了哪些 長度為 和 的都有過濾,測試一下,感覺不是sql注入了。那還有什么呢,考慮了ssti 使用 ,我直接傻了,怎么python的后端會報php的錯,這里直接思路斷了,找了其他的也沒有發現有什么。直接看wp了,wp說看到返回頭后發現是python寫的后端,我這也沒看出來有啥啊,希望有師傅知道的 ...
2020-08-18 15:21 0 956 推薦指數:
相關推薦
刷題記錄:[GWCTF 2019]枯燥的抽獎
目錄 刷題記錄:[GWCTF 2019]枯燥的抽獎 知識點 php偽隨機性 刷題記錄:[GWCTF 2019]枯燥的抽獎 題目復現鏈接:https://buuoj.cn/challenges 參考鏈接:2018SWPUCTF-Web全 ...
刷題記錄:[GWCTF 2019]我有一個數據庫
目錄 刷題記錄:[GWCTF 2019]我有一個數據庫 知識點 phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞 刷題記錄:[GWCTF 2019]我有一個數據庫 題目復現鏈接:https://buuoj.cn ...
[GWCTF 2019]枯燥的抽獎
0x00 知識點 種子爆破 工具 http://www.openwall.com/php_mt_seed 0x01 解題 查看源碼進入check.php 發現mt_scrand(),mt_ ...
刷題[RoarCTF 2019]Easy Java
前置知識 WEB-INF/web.xml泄露 java web工程目錄結構 Servlet訪問URL映射配置 由於客戶端是通過URL地址訪問Web服務器中的資源,所以Servle ...
BUUCTF--[GWCTF 2019]xxor
測試文件:https://www.lanzous.com/ib5y9cb 代碼分析 這段代碼,對輸入數字的處理,我們可以分成兩部分 第36~43行代碼,輸入整型數組變換 ...
BUUCTF [GWCTF 2019]pyre WriteUp
題目地址 https://buuoj.cn/challenges#[GWCTF%202019]pyre 題解 先安裝uncompyle py -3 -m pip install uncompyle 然后執行指令,弄出一個.py文件 uncompyle6.exe ...
BUUCTF--[GWCTF 2019]re3
測試文件:https://lanzous.com/ic9ox7a SMC自修改代碼 代碼分析 首先,我們使用插件Findcript可以發現,這段程序中存在的加密方式: 去混淆 ...