摘要:
[HCTF 2018]WarmUp 解题步骤 开启靶场页面上只有一个大滑稽脸,没有什么特别有用的信息,直接查看源码 看到提示,网址上拼接url访问/source.php 代码审计 为了方便看,先单独一段一段分析 <?php highlight_file(__FILE__); // 高亮显示 clas 阅读全文
posted @ 2025-10-01 02:12
云懿
阅读(19)
评论(0)
推荐(0)
摘要:
[BSidesCF 2020]Had a bad day 解题步骤 开启靶场,在页面上有两个明显的按钮,没有发现其他特别的信息了 判断漏洞类型 随便点击按钮后发现url改变,猜测本题考的是sql注入或者文件包含 http://7247f02e-e4de-47ae-a938-c1ae677b3169. 阅读全文
posted @ 2025-07-18 17:27
云懿
阅读(46)
评论(0)
推荐(0)
摘要:
[极客大挑战 2019]PHP 解题步骤 启动靶场,页面有只玩球的小猫,上面提示有备份文件的习惯,触发关键词直接猜测是备份文件泄露 常见的网站源码备份文件后缀: zip,rar,tar,7z,tar.gz,bak,txt,pdf 常见的网站源码备份文件名: web,website,backup,ba 阅读全文
posted @ 2025-06-26 23:54
云懿
阅读(114)
评论(0)
推荐(0)
摘要:
[极客大挑战 2019]Http 解题步骤 开启靶场,页面上没有发现什么有用的信息 查看源码 f12查看源码,查找看看有什么有用的信息 仔细找找发现一个 Secret.php 文件,访问一下这个路径 添加Referer 回显说明不是来自于https://Sycsecret.buuoj.cn这个网站, 阅读全文
posted @ 2025-06-24 16:48
云懿
阅读(41)
评论(0)
推荐(0)
摘要:
[极客大挑战 2019]Upload 解题步骤 从靶场名和页面来看是文件上传,第一步先直接上传一个普通的一句话木马 <?php@eval($_POST['pwd']);?> 判断类型 我们直接先上传 php 文件,判断是否可以直接上传或提示上传的文件类型 上传后回显表示不是图片格式,说明上传的文件格 阅读全文
posted @ 2025-06-20 23:50
云懿
阅读(584)
评论(0)
推荐(0)
摘要:
[强网杯 2019]随便注 解题步骤 测试注入点 利用引号 ' 判断是否报错,和数学计算如 2-1 之类的判断是字符型还是数字型 1' 报错,基本能判断是字符型 1'# 正常回显 从报错中还能判断是使用单引号闭合,加上注释回显正常则说明存在sql注入 届时我们先尝试一下union联合注入 先试用or 阅读全文
posted @ 2025-06-14 18:11
云懿
阅读(51)
评论(0)
推荐(0)
摘要:
[极客大挑战 2019]Havefun 解题步骤 启动靶场页面只有一只小猫,没有找到说明有用的信息 查看源码 先查看源代码,按f12打开控制面板找一下有用的信息 代码审计 以下代码比较简单,详细分析一下 $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ e 阅读全文
posted @ 2025-06-14 15:35
云懿
阅读(221)
评论(0)
推荐(0)
浙公网安备 33010602011771号