渗透测试CTF论剑场-文件包含 打开网页进去如下图,看起来是个上传。。。 点击uploading a picture进去看看、、、 发现可以上传,按照它的提示是我只可以上传png格式的图片,那咱们试试去 上传一个一句话木马,先试试水... 2019年8月3日7,520评论flag 阅读全文
渗透测试CTF论剑场-你能不能再快点~~~ 打开页面有个很丑的界面、、、 看到输入框以为是个SQL注入,尝试无果。。。。。。。。。 打开burpsuite进行抓包查看、、、 通过用burpsuite进行重放发现返回包头中含有password参数... 2019年8月3日7,183评论flag SQL注入 阅读全文
渗透测试CTF论剑场-SQL注入~~~ 根据题目提示,这道题是个SQL注入题,于是我们直接试探SQL注入,看到页面有个list点开看看 看着链接的样子就是有SQL注入的样子,哈哈哈,接下来让试试它过滤了啥,怎么闭合吧。通过测试发现,过滤了a... 2019年8月3日8,043评论flag SQL注入 阅读全文
渗透测试CTF论剑场-web20 打开页面是一个提示 初步判断还是要用Python提交,脚本如下,刚开始运行的时候以为思路出现问了,但是按照bugku的风格,估计要多跑几次,果然,成功拿到了flag、、、 #coding:utf-8 ... 2019年8月3日9,564评论bugku flag 阅读全文
渗透测试CTF论剑场-(web21)一道很有质量的web题、反序列化 这个题的writeup我准备认认真真的写一下,因为这道题我觉得还是很有质量的,有文件包含,代码审计和反序列化的一些东西。。。 打开页面,出现了一行提示,说我不是admin,然后查看页面源代码。 发现了... 2019年8月3日11,169评论flag 阅读全文
渗透测试CTF论剑场-web22 打开网页发现毛都没有,一片白 但是看到这个URL我觉得有点意思,难道又是文件包含? 果然是文件包含,去转码一下 通过这个提示可以看到,好像是个上传,因为提示中有一个upload.php文件存在。。。那... 2019年8月3日7,343评论flag 阅读全文
渗透测试CTF论剑场-web日志审计 打开log文件,大概翻一翻是一堆的扫描日志记录,搜索200 可以找到使用sqlmap的记录,估计flag应该在这几个记录里,观察日志发现sqlmap随后一位数字发生变量,可能是acsii码,将这一堆复... 2019年8月3日12,553评论flag 阅读全文
渗透测试Bugke-听说备份是个好习惯 根据提示,应该是有备份文件,扫一波。。。 发现了一个bak文件,打开进行代码分析。。。 <?php /** * Created by PhpStorm. * User: Norse * Date... 2019年8月3日7,355评论flag 阅读全文
渗透测试Bugku-秋名山老司机 页面是一串数学表达式,要在2秒内提交答案就可以获取flag,很明显用脚本。。。 #!coding:utf-8 import requests,re s = requests.session() url... 2019年8月3日12,591评论flag 阅读全文
渗透测试Bugku-速度要快 之前做过类似的题,很简单。。。看到页面提示‘速度要快!!!’然后我们抓包看看 很明显的提示了,其中flag字段是base64加密的,加密之后发现是二次加密,根据提示,要快速的将整个值提交才能获取fla... 2019年8月3日8,825评论flag 阅读全文
7,520评论flag 
