随笔分类 - CTF-web
摘要:本题考的是命令执行漏洞方面的知识。 首先,我们要知道命令执行漏洞是什么: 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击
阅读全文
摘要:打开网页是一个简单的登录界面,先随便登录进去,发现是一个check.php文件,查看代码发现: 于是就知道了,你需要一个字典,简单的说就是爆破。 所以打开burpsuite工具,对该页面进行抓取。 首先,看这个弹窗: 显示username就是admin,所以我们只需要爆破密码password就行了。
阅读全文
摘要:首先打开网址是: 这段php代码的意思是,通过get方法得到a和b的值,然后如果$a==0 并且$a为真,得到flag1,如果b是整数或者数字字符串,就退出,然后如果$b>1234就得到flag2. 本题考查的是php的弱类型比较。 虽然 PHP 是弱类型语言,但也需要明白变量类型及它们的意义,因为
阅读全文
摘要:Cookie是当主机访问Web服务器时,由 Web 服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行 Session 跟踪而存储在用户本地终端上的数据,而这些数据通常会经过加密处理。 通过F12查看网页,发现有个cookie
阅读全文
摘要:题目链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5064&page=1 一般建站的时候会有一个index.php文件 这个文件的备份有两种 index.php~和index.php.bak 所以直接访
阅读全文
摘要:链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5063&page=1 禁止搜索引擎收录的方法(robots.txt) 搜索引擎通过一种程序robot(又称spider),自动访问互联网上的网页并获取网页
阅读全文
摘要:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5061 打开是一个网页 知识点: 根据题目的名字加上百度才知道在网页前面加上 view-source 就可以直接查找到网页的源代码,有些浏览器好像F12也行。
阅读全文
浙公网安备 33010602011771号