C10ud

摘要： 先查看f12找到一个目录，进去之后继续f12有一段base32，继续base64解码得到 select * from user where username = '$name' 所以也就知道后台检测是账户和密码分开的，先检查是否存在指定的账户，然后把该账户的所有信息都查询出来，再和输入的密码进行比较 阅读全文

摘要： 直接给出源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __con 阅读全文

摘要： 这题我先上传了一个正常的图片，一直传不上。奇了怪了，原来是对图片大小还有限制。 传个空的jpg文件上传成功。 上传php2, php3, php4, php5, phps, pht, phtm, phtml后缀也都爆出ph的检查。 上传.htaccess文件修改content-type为image/ 阅读全文

摘要： f12找到一段ajax请求代码 $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:function(data) 阅读全文

摘要： 和强网杯的那到sql多了修改表名列名和预编译的过滤。 这题是新的姿势，官方文档。 该HANDLER ... OPEN语句打开一个表，使其可以使用后续HANDLER ... READ语句访问。这个表对象不被其他会话共享，并且在会话调用HANDLER ... CLOSE或会话终止之前不会关闭 。 构造p 阅读全文

摘要： 首先万能密码 admin'#,报出密码错误。 admin' union select 1,2,3#查询报出密另一种错误，开来是检测到恶意字符了。 先考虑union绕过， 单独拿出来试，大小写注释双写等都无法报出 wrong password 这个错误信息，说明没有绕过检测成功。 select通过以上 阅读全文

摘要： 学习代码审计时，接触到mvc框架的路由功能模式，简单记录一下。 MVC路由机制 按照传统，在很多Web框架中（如经典的ASP、JSP、PHP、ASP.NET等之类的框架），URL代表的是磁盘上的物理文件。例如，当看到请求http://example.com/albums/list.aspx时，我们可 阅读全文

摘要： admin'#万能密码，给出一段md5没啥鸟用。 试常规注入流程吧，先判断列数。 admin' order by 1# or被过滤掉了呢，尝试大小写，注释符都无法绕过，双写有了新的报错，说明绕过成功，双写by，绕过成功。 增加到四列，出现报错 说明列数为3。一顿撸 -1' uniunionon se 阅读全文

摘要： admin'#登录爆出admin用户密码，MD5解密无果。 常规方法一顿撸。 admin' order by 4# 报错，字段数为3。 -1' union select 1,2,3# 报出显示位。 -1' union select 1,database(),3# 报出数据库名。 -1' union 阅读全文

摘要： 一 首先判断注入点的存在以及类型。 1 正常 1' 报错，并根据报错信息以及1'#回显正常判断出符号包裹为单引号 1' and 1=1# 返回信息 1' and 1=2#无返回信息 因此存在单引号注入点 输入1' or 1=1 #可得到这个表的所有内容 二 获取列数 1' order by 1# 1 阅读全文