摘要:[CISCN2019 华北赛区 Day1 Web5]CyberPunk 知识点 1.php伪协议 2.二次注入 二次注入可以理解为,攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理,但在恶意数据插入到数 阅读全文
posted @ 2020-07-13 15:29 Rabbittt 阅读(33) 评论(2) 推荐(1) 编辑
摘要:[CISCN2019 华东南赛区]Web11 写在前面 参考文章:Smarty SSTI 1. Smarty已经废弃标签,强烈建议不要使用。在Smarty 3.1,仅在SmartyBC中可用。 2.** 可以让一个模板区域的字符原样输出。这经常用于保护页面上的Javascript或css样式表,避免 阅读全文
posted @ 2020-07-13 11:17 Rabbittt 阅读(33) 评论(0) 推荐(0) 编辑
摘要:MRCTF2020套娃 打开网页查看源代码 关于$_SERVER['QUERY_STRING']取值,例如: http://localhost/aaa/?p=222 $_SERVER['QUERY_STRING'] = "p=222"; substr_count()函数计算子串在字符串中出现的次数 阅读全文
posted @ 2020-07-13 10:06 Rabbittt 阅读(97) 评论(0) 推荐(0) 编辑