摘要:
今天做的这道题很有意思,跟之前做的浙大oj上的题目很类似,都是考了md5(string,raw)这个函数,所以这里我要记录一下 题目 拿到题目,是一个框 分析 先随便输入一个数值,抓包看看 发现返回包中有这么一条查询语句select * from 'admin' where password=md5 阅读全文
posted @ 2020-09-11 20:55
My_Dreams
阅读(304)
评论(0)
推荐(0)
摘要:
题目 拿到题目 分析 第一个绕过 if(isset($text)&&(file_get_contents($text,'r') "welcome to the zjctf")) file_get_contents($text,'r')是读取文件的内容,说明我们首先要上传一个文件,并且它的内容还得是" 阅读全文
posted @ 2020-09-11 17:52
My_Dreams
阅读(915)
评论(0)
推荐(1)
摘要:
题目 拿到这道题,是给了提示的,我们猜想是一道注入的题目 分析 我们先提交一个1,抓个包看看 再跟个1'呢 发现报错,再输入1' or 1=1--+,猜想后端应该是做了某种过滤 我们先来fuzz一下,看到底哪些关键字被过滤掉了 把数据包放到爆破模块中 导入我们的fuzz字典,然后开始爆破 leng= 阅读全文
posted @ 2020-09-11 11:45
My_Dreams
阅读(2432)
评论(0)
推荐(1)
浙公网安备 33010602011771号