Cookie注入(未完)
摘要:
sss javascript:alert(document.cookie="id="+escape("9")); javascript:alert(document.cookie="id="+escape("9 and 1=1")); 阅读全文
posted @ 2020-07-15 22:22 爱在西元间 阅读(169) 评论(0) 推荐(0)
2020年7月15日 #
2020年7月5日 #
第三届NSCTFweb-easy_sql
摘要:
111 <?php require("conf/config.php"); if (isset($_REQUEST['id'])) { $id = $_REQUEST['id']; if (preg_match("/\d.+?\D.+/is",$id)){ die("Attack detected" 阅读全文
posted @ 2020-07-05 17:48 爱在西元间 阅读(355) 评论(0) 推荐(0)
第三届NSCTFweb签到题-本地访问?
摘要:
burpsuite 添加XFF参数改成本地地址,修改用户名为admin 阅读全文
posted @ 2020-07-05 17:39 爱在西元间 阅读(746) 评论(0) 推荐(0)
第三届NSCTF之easy ssrf
摘要:
ssrf题首页: PS:不是这个 需要git clone https://github.com/tarunkant/Gopherus.git 执行./gopherus.py --exploit mysql 输入root和use ssrf;select * from flag; 复制下面的字符进行ur 阅读全文
posted @ 2020-07-05 16:51 爱在西元间 阅读(1231) 评论(0) 推荐(0)
2020年7月3日 #
第三届NSCTF测试题Welcome
摘要:
有点烧脑的签到题,第一次不知道的可能要找半天。。我是几天看下来都没发现,后来回过头又看了几遍才有发现。。网页如下: 可以看到flag是不完整的,这个不能用,找了半天在页面里都没发现线索,用burp也没发现啥可疑: 后来尝试对该密文MD5解密看看(注意MD5是哈希算法,这里简说加解密了),出来一个字符 阅读全文
posted @ 2020-07-03 18:24 爱在西元间 阅读(1074) 评论(0) 推荐(0)
第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过
摘要:
1、打开网页如图,F12发现code.txt: 2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag; 3、在问了几个朋友后,得到一些提示,首 阅读全文
posted @ 2020-07-03 17:26 爱在西元间 阅读(1020) 评论(0) 推荐(0)
PUT方法提交message
摘要:
put me a message then you can get the flag: 根据提示使用PUT方法提交看看: 根据提示输入message: base64解码后: 阅读全文
posted @ 2020-07-03 16:37 爱在西元间 阅读(1238) 评论(0) 推荐(0)
2020年7月1日 #
使用John the Ripper破解sha512加密的shadow文件密码
摘要:
John the Ripper shadow文件解析 文件的格式为:{用户名}:{加密后的口令密码}:{口令最后修改时间距原点(1970-1-1)的天数}:{口令最小修改间隔(防止修改口令,如果时限未到,将恢复至旧口令):{口令最大修改间隔}:{口令失效前的警告天数}:{账户不活动天数}:{账号失效 阅读全文
posted @ 2020-07-01 14:34 爱在西元间 阅读(9749) 评论(1) 推荐(0)
2020年6月18日 #
第2章 SQL注入攻击:课时1:注入攻击原理及自己编写一个注入点
摘要:
OWASP TOP10 漏洞第一就是sql注入 以及乌云网上爆出的漏洞基本5个就有1个是sql注入漏洞,所以要引起重视。 sql注入只跟数据库有关,跟平台或脚本无关(不管是php、asp、jsp还是windows、linux) 阅读全文
posted @ 2020-06-18 10:25 爱在西元间 阅读(250) 评论(0) 推荐(0)
2020年6月16日 #
配置IIS10支持php语言脚本
摘要:
基本可以参考下面的链接去做,只是有个地方需要注意下! <><><><>在添加模块映射时提示“FastCgiModule不是可识别的本机模块……”(参考:FastCgiModule不是可识别的本机模块 的解决办法 | 我的BLOG ) PS:就是appwiz.cpl这里需要添加这些(添加后可以刷新II 阅读全文
posted @ 2020-06-16 15:43 爱在西元间 阅读(520) 评论(0) 推荐(0)
浙公网安备 33010602011771号