攻防世界-web:CAT
题目描述
抓住那只猫
题目截图
解题思路
输入127.0.0.1,存在ping回文
尝试命令注入
发现存在waf,不能使用。
观察URL
发现字符被URL编码了
可以想到后台会对输入的payload进行url二次解码
尝试宽字节注入【0-127以外的字符】%aa
发现报错了
将错误保存成html,查看
php@文件路径 可以读取文件内容
我们读取sqlitdb
在返回的文字搜索ctf
得到flag
抓住那只猫
输入127.0.0.1,存在ping回文
尝试命令注入
发现存在waf,不能使用。
观察URL
发现字符被URL编码了
可以想到后台会对输入的payload进行url二次解码
尝试宽字节注入【0-127以外的字符】%aa
发现报错了
将错误保存成html,查看
php@文件路径 可以读取文件内容
我们读取sqlitdb
在返回的文字搜索ctf
得到flag
浙公网安备 33010602011771号