附件是个漏扫报告,通过漏扫报告可以看出,目标站点存在SQL注入、文件包含、目录遍历和xss。使用sqlmap就可以跑出来数据库内容,并没有发现flag,于是考虑应该是文件包含,用PHP伪协议进行爆页面...
红蓝演练告警waf_v2
#!coding:utf-8 from socket import * import pygame,re,os dirscan = [] dirscanku = open('dirscan.dict'...
红蓝演练告警IPS告警_v2
#!coding:utf-8 from socket import * import pygame,re tmpSip = '' tmpDip = '' tmpEventName = '' URL1 ...
mysql 写入一句话
mysql 写入一句话 方法一: 1、SHOW VARIABLES LIKE "secure_file_priv"; 查看文件导出功能是否开启 如果: secure_file_priv NU...
Bugku-cookie欺骗
首页是一串乱码,但是可以从URL看出最后的$file参数的值是base64加密的 解密之后得到加密的参数是key.txt,$line的参数什么都没有,作用是显示文件中对应的行的内容,如果是1就显示1行...
Bugku-never give up
打开页面是一句话 “never give up”,再查看源代码看看有什么有用的信息 发现有一个1p.html,我们访问过去看看,发现会跳转到http://www.bugku.com/,这里应该有有什么...
Bugku-welcome to bugkuctf
这道题和CTF论剑场的web21题非常相似,做题方式是一样的,可以在我的博客中搜索web21进行查看对比 首先打开页面是一串提示,同时我们看一下页面源代码 对图片中的源代码进行分析: $user = ...
Bugku-字符?正则?
这道题挺没意思的,就是考察正则,还有PHP preg_match函数的作用,好,我们开始 打开页面一堆代码提示,进行分析: <?php highlight_file('2.php'); //高亮...
Bugku-前女友(SKCTF)
进入后发现首页是一段很伤感的话,做个题都这么伤感,哎。。。。 查看网页源代码,发现code.txt,访问查看,发现是个审计题,代码分析如下: <?php if(isset($_GET['v1']...
实战仿真靶场Killboy_Team_1——渗透测试过程
被CTF比赛冲昏了头脑的我,突然发现自己的渗透测试能力直线下降,可能和脑洞大开、不切实际的CTF题目有关吧,让我一度茫然的开启刷题模式,现在我觉醒了,黑客技术不是CTF,从现在开始,我会搭建一些仿真环...
27