摘要：[极客大挑战 2019]FinalSQL 一道SQL注入题，是之前做的版本的进阶题，同样可以输入用户名和密码，在这里一番测试后没有找到可利用的地方 注意点转移到上面的神秘代码 点击1后，发现跳转到了search.php页面，id值为1 继续测试这个地方是否存在注入，结果发现他有过滤，过滤了空格、星号 阅读全文

摘要：python-requests模块学习 1. 安装及导入模块 pip install requests import requests 2. 发送请求 各类请求方法 r = requests.get('https://www.baidu.com') #GET请求 r = requests.post( 阅读全文

摘要：[CISCN2019 华东南赛区]Web11 打开环境，没看见什么输入框，但一眼就看到了XFF，然后右上角还有一个IP地址 和上次做的拼多多拿flag应该差不多，使用XFF就能绕过IP检测，先抓包。 IP可以随便改了，但好像没啥用，然后在页面底部发现一行字：Build With Smarty ! 然 阅读全文

摘要：[安洵杯 2019]easy_serialize_php 这题有点难度，记录一下 环境源码： <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','f 阅读全文

摘要：[BSidesCF 2020]Had a bad day 这题还是比较简单的，打开环境里面就两个按钮 输入其他参数都会提示：Sorry, we currently only support woofers and meowers. 第一次猜测是SQL注入，但输入引号测试没效果 然后猜测也可能是布尔注 阅读全文