摘要：SQL注入 burpsuit构造 注：burpsuit repeater模块中，空格使用+或%20构造 username=xx'+or+1#&password='password' SQL语句：select * from admin where username='xx'+or+1; # and p 阅读全文

摘要：攻防世界-流量分析1 1、丢到虚拟机里寻找有关flag的字符串，发现许多GET请求 strings challenge.pcapng | grep flag 2、URL解码一下发现是时间盲注 3、用 wireshark打开,查找时间差大于3s的包， frame.time_delta >3 &&htt 阅读全文