2025年4月8日
ctfshow-web入门-sql注入 2.无过滤注入(web176-web182)
摘要: web176 查询语句 //拼接sql语句查找指定ID用户 $sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;"; 返回逻辑 阅读全文
posted @ 2025-04-08 16:27 dhdhsiwi 阅读(105) 评论(0) 推荐(0)
2025年4月4日
ctfshow-web入门-sql注入 1.无过滤注入(web171-web175)
摘要: web171 查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; 先查询数据库名和版本号 -1' 阅读全文
posted @ 2025-04-04 21:51 dhdhsiwi 阅读(183) 评论(0) 推荐(0)
2025年3月29日
ctfshow-web入门-爆破(web21-web28)
摘要: web21 打开后要求登录 附件是一个密码字典 使用bp抓包,将抓到的东西进行base64解码 发现是admin:密码的键值对 添加payload,payload类型为自定义迭代器,位置1为admin: 位置2为导入的字典 添加base64编码和取消url编码 然后开始攻击,发现长度和其他不同的包, 阅读全文
posted @ 2025-03-29 22:12 dhdhsiwi 阅读(154) 评论(0) 推荐(0)
2025年3月25日
ctfshow-web入门-信息搜集(web1-web20)
摘要: web1 查看源代码,直接看到flag web2 禁用了鼠标右键查看源代码,但是可以url前加入view-source: 查看源代码。 或ctrl+u查看源代码 web3 bp抓包,发现flag 或在这里也能看到flag web4 直接dirsearch扫描,发现/robots.txt 访问url/ 阅读全文
posted @ 2025-03-25 22:24 dhdhsiwi 阅读(221) 评论(0) 推荐(0)