摘要:源URL:http://foreversong.cn/archives/789 偶然下载了今年ISC大会360应急响应中心的一个ppt,在最后有个攻防领域专家注册考试目录,其中有很大一块就是中间件的安全,包括Apache、IIS、Tomcat、Weblogic等等,后面我会针对这些中间件,并且借着上 阅读全文
posted @ 2017-11-28 21:48 Fint0p 阅读(590) 评论(0) 推荐(0) 编辑
摘要:打开链接“http://ctf5.shiyanbar.com/web/10/10.php”,从页面内容未发现明显信息,查看源代码发现“please post what you find with parameter:key”,f12看到返回response headers中有flag字样,看起来是b 阅读全文
posted @ 2017-11-22 10:20 Fint0p 阅读(669) 评论(0) 推荐(0) 编辑
摘要:题目链接:http://ctf5.shiyanbar.com/423/web/ 简单的SQL注入之1,比2,3都简单一些。利用2 的查询语句也可以实现:1'/**/union/**/select/**/flag/**/from/**/web1.flag/**/where/**/'1'='1 经测试, 阅读全文
posted @ 2017-11-19 22:26 Fint0p 阅读(1173) 评论(0) 推荐(0) 编辑
摘要:直接输入11'报语法错误,然后输入1' and '1'='1 报SQLi detected!,说明有防护,输入1'and'1'='1回显ID: 1'and'1'='1 name: baloteli 说明过滤了“空格” 照原有的思路,库名,表名,字段名,flag进行尝试 查看有哪些数据库1'/**/u 阅读全文
posted @ 2017-11-19 22:12 Fint0p 阅读(3242) 评论(0) 推荐(0) 编辑
摘要:实验吧第二题 who are you? 很有意思,过两天好好分析写一下。简单的SQL注入之3也很有意思,适合做手工练习,详细分析见下。 http://ctf5.shiyanbar.com/web/index_3.php 随便输入111' 便报错,由报错内容可知较多信息: 通过 1' and '1'= 阅读全文
posted @ 2017-11-16 22:37 Fint0p 阅读(6750) 评论(3) 推荐(0) 编辑
摘要:打开页面,查看源代码,发现存在source.txt(http://ctf5.shiyanbar.com/web/pcat/source.txt),如下: 由源码分析,必须满足一下条件: 1. $filter = "and|select|from|where|union|join|sleep|benc 阅读全文
posted @ 2017-11-15 22:22 Fint0p 阅读(1415) 评论(0) 推荐(1) 编辑
摘要:新装完Ubuntu 16.04 LTS 通过System settings-->Displays 设置屏幕分辨率 显示“Unknown display”,选择后无反应,并且屏幕大小不会改变,无法通过设置改变屏幕分辨率 经过搜索,发现可以使用xrandr命令调节分辨率,如下: 带*号的为当前分辨率, 阅读全文
posted @ 2017-11-07 23:04 Fint0p 阅读(1069) 评论(0) 推荐(0) 编辑
摘要:实验吧CTF Web篇 1. 打开登录地址(http://ctf5.shiyanbar.com/web/wonderkun/web/index.html),发现为一个登录界面,第一想到的是查看源代码,没有发现其他信息,然后输入万能密码1'or'1'='1,发现过滤了or ,但未过滤单引号(‘)等,如 阅读全文
posted @ 2017-11-01 22:38 Fint0p 阅读(1632) 评论(0) 推荐(0) 编辑