Web1
[CISCN2019 华北赛区 Day2 Web1]Hack World
import requests import time url ="http://b7a8c212-0f73-459e-a181-6453bed29e70.node4.buuoj.cn:81/index.php" result="" num =0 for i in range(1,60): if n ......
[SWPU2019]Web1
原理 空格过滤 or过滤的替代词 无列名注入 解题过程 以后再写过程 参考文章:https://blog.csdn.net/qq_56313338/article/details/132526998 ......
[CISCN2019 华北赛区 Day2 Web1]Hack World
原理 sql关键字的fuzz测试 括号代替空格 用substr脚本跑 参考文章:https://blog.csdn.net/qq_45691294/article/details/108709683 ......
BUUCTF [SWPU2019]Web1
进入网站,注册登录,进到申请发布广告,应该就是在这里实现注入。 首先尝试: ``` 1'or 1 = 1# 标题含有敏感词汇 ``` 应该是哪里被过滤了。经过尝试后是`or`被过滤了,`--+`,`#`等其他的注释符也被过滤了。 经过测试后,结尾可以用`单引号`闭合。 再次尝试: ``` 1'sho ......
BUUCTF [CISCN2019 华北赛区 Day2 Web1]Hack World
1. 判断过滤哪些关键词和字符 使用Burp Suite的Intruder,字典内容就是常见的SQL注入的一些函数名、符号等。 buuoj有访问限制,访问太快会提示429 Too Many Requests,所以,需要设置一下延时。 ![](https://img2023.cnblogs.com/b ......
[CISCN 2019华北Day2]Web1
[CISCN 2019华北Day2]Web1 题目来源:nssctf 题目类型:web 涉及考点:SQL注入 1. 题目给了一个输入框,很明显是要注入 先尝试随便提交点东西: * 传入`1`: * 传入`1'`: * 传入`1"`: > 可以看出题目应该是过滤了一些字符 2. 下面我们抓包进行Fuz ......
web1
一、实验目的 通过设计一个个人主页网站,学习常用的HTML标记,学习使用CSS对页面进行美化,掌握JavaScript的语法和常用的浏览器对象,初步学会使用Eclipse创建网站和编辑网页的方法。 二、实验内容和要求 1) 自己设计网页内容,做一张展示自己网页。要求展示的主要内容有:基本资料、学习经 ......
WEB|[CISCN2019 华北赛区 Day1 Web1]Dropbox
注册帐号登录 存在文件上传点,抓包上传文件,修改Content-Type后可以上传代码文件,但是后缀会变为图片后缀 上传文件后有文件下载功能 抓包发现filename直接曝露在内容中,试试下载其他文件,发现存在任意文件下载漏洞 将已知文件都下载下来 文件源码 login.php <?php sess ......
WEB|[CISCN2019 总决赛 Day2 Web1]Easyweb
有登录框可能有注入,查看源码有一个图片链接id直接曝露出来也了可能有注入 查看robots.txt文件,提示有备份文件,尝试已知php文件,得到image.php.bak备份文件 image.php源码 <?php include "config.php"; $id=isset($_GET["id" ......
web1
序 早期的web架构中,client/server算是比较早的,但对于后续web发展,反复的更新升级client跟不上服务要求,所以有了Browser/Server,对于客户,只需要一个浏览器,就可以享受server的服务,对于浏览器来说,它要做的就是渲染工作,而应用的逻辑和数据都存在server, ......
[CISCN 2019华北Day2]Web1
[CISCN 2019华北Day2]Web1 提示了flag表中有flag列,我们只能提交id 输入1和2都有文本输出,3的时候出现报错 输入1’#出现以下图片所示情况,说明应该存在过滤 我用fuzz跑一下,看一下哪些字符被过滤了 发现空格,or,order,union以及报错注入的相关字符都被过滤 ......