登陆一下好吗(SQL绕过表单) 查看过滤了什么,题目说过滤了一切。 ::: {.image-package}\ ::: {.image-caption}:::::: \ ::: {.image-package}\ ::: {.image-caption}:::::: 发现是post方式来提交数据,处理是login.php脚本来完成,在url里输入login.php的,返回白页,没有发现源码。 ::: {.image-packa 2017-02-01 CTF
这个看起来有点简单 ::: {.container}::: {.post}::: {.show-content}工具:sqlmap 看到id=,看源码是get方式提交数据,所以可以用自动化工具试一试。 按照一般套路,先找数据库。 再找数据库里的表,表里面还有列,一路找下去,输出目标列的内容就可以了命令是这样的:sqlmap -u "http://ctf5.shiyanbar.com/8/index.php? 2017-02-01 CTF
看起来有点难(布尔型注入) ::: {.container}::: {.post}::: {.show-content}工具:sqlmap 分析:http://ctf5.shiyanbar.com/basic/inject/index.php?admin=&pass=&action=login 参数有三个,用户名和密码加上login. 如果是错误的的用户名,则提示数据库连接失败,用 2017-02-01 CTF
布尔盲注与脚本 ::: {.container}::: {.post}::: {.show-content}打开题目链接,是一个登录表单。 经过测试,输入错误的用户名,提示”username error! “ 输入正确的用户名和错误的密码,提示”password error! " 用户名admin貌似是存在的。 1.测试单引号,没有报错。看来不是基于报错类型的注入。 2.经过十多分钟的探测,all te 2017-02-01 CTF
title: Mtle: M {.post}::: {.show-content}::: {.image-package}\ ::: {.image-caption}:::::: 参照语言代码与国家地区对照表。 \ ::: {.image-package}\ ::: {.image-caption}::::::::::::::: 2017-01-31
布尔盲注&脚本过waf ::: {.container}::: {.post}::: {.show-content}题目:输入admin F12查看,是post提交方式,表单参数是id ::: {.image-package}{.uploaded-imgwidth=”auto” height=”auto”}\ ::: {.image-caption}:::::: 输入admin; ::: {.image-package 2017-01-31 CTF
NSCTF-web200 知识点一:substr()函数返回字符串的一部分。语法:substr(string,start,length) substr($_o,$_0,1)即将$_o从$_0开始剪切,减去一个字符,然后输出减的这个字符。$_0是从0开始,所以我们从头开始减。 所以$_c就是将$str最后一个字符减去,然后输出它。我们假设这个字符为X 知识点二:ord()将字符串的第一个字符变为ASCII码。 $_ _是将字 2017-01-31 ctf
once-more http://www.shiyanbar.com/ctf/1805 1.ereg(),对比解析函数,与大小写有关,看两个字符串是不是相等的。 2.strpos()函数查找字符串在另一字符串中第一次出现的位置。strpos(string,find,start) 3.strlen(),返回字符串的长度。 4.在科学计数法中,为了使公式简便,可以用带”E”的格式表示。例如103乘10的6次方,可简写为” 2017-01-31 ctf
BC14鸡兔同笼升级版 题目 ,参考资料:《python核心编程》第七章 薯片4块钱,鸡蛋2块。 买了的商品数量是5,总价是14块,存货是3(即购买每种商品不能大于3个) 问,买了哪些商品?各几样? 当然这是例题,真正的题目在这 ::: {.image-package}\ ::: {.image-caption}:::::: 分析:这里应该要用到字典。所谓字典,是指它有一个特殊的结构。 普通的数据就是,xx =10。字 2017-01-01 ctf
方向比努力重要 听说安全圈两极分化相当严重,水平高的大黑阔很少,水平低的“script Kid”就只会用工具。 在以前黑客都是计算机高手,但是现在计算机普及加上工具傻瓜化,随便的小学生都可以自称黑客黑网站。 了解黑箱里究竟发生了什么事情,并有能力改变是一个能力的分水岭。 前辈将工具写好,操作都告诉你了,得到了的结果都不是你的功劳,没什么稀奇的。 编程能力,思维,方向,基础, 1,一个好的程序员并不等于一个好的黑 2017-01-01 View View