已注销

未归档

总结(1) 题解(4)

/ 注册

全部文章 / 未归档（共11篇）

记一次电商漏洞的挖掘经历

最近正在学习挖漏洞，今天实践一下，结果还真有收获。一般电商网站都有一些常见的漏洞，包括验证码回显，订单金额修改，任意密码重置，短信轰炸等等。在这里，我就讲一讲我挖到的验证码回显和短信轰炸漏洞。验证码回显一般出现在注册界面和登录界面，一般挖某个电商网站漏洞的时候都会先注册一个账号。在注册信息填充完...

漏洞挖掘 web安全

2019-02-18

0 527

CTF中PHP反序列化和命令注入的一次简单利用

代码来自第六届防灾科技学院网络安全技能大赛，侵删。目标获取Linux服务器根目录下的flag 代码 /*home.php*/ class home{ private $method; private $args; function __constru...

CTF web安全反序列化

2019-07-16

0 627

小明学习代码审计writeup

小明学习代码审计writeup 题目来自hackinglab.cn 综合关题目地址：http://lab1.xseclab.com/pentest6_210deacdf09c9fe184d16c8f7288164f/index.php 访问题目地址得到如下源码： Please Re...

CTF web安全

2019-07-18

0 448

ciscn2019华北赛区半决赛day2_web1题解

比赛结束以后采用非官方复现平台做的题，和比赛题有轻微不同，比赛中存放flag的table是ctf，这里是flag。题目地址 buuoj.cn 解题过程题目中只有一个页面，需要提交id。 id为1,2时，可以分别得到一句话。id为0时，显示error，可能是因为结果为空集。 id...

CTF Python web安全

2019-08-12

0 650

ciscn2019华北赛区半决赛day1web5CyberPunk

刚比赛完的一段时间期末考试云集，没有时间复现题目。趁着假期，争取多复现几道题。复现平台 buuoj.cn 解题过程首先进入题目页面看起来没有什么特别的，就是一个可以提交信息的页面。查看响应报文也没有什么提示，但是在网页注释里有东西。  这...

CTF Python web安全 SQL注入

2019-08-13

0 425

极客大挑战2019PHP题目详解

题目来源题目来源为buuoj.cn。题目为buuoj.cn的web题目组的[极客大挑战2019]PHP。解题过程网站的首页是一只可爱的猫猫，挪动鼠标猫猫会跟着转头，很好玩！网页中提到了备份网站，因此可以尝试使用一个网站备份文件名的字典来进行爆破，发现网站中有www.zip文件...

反序列化 web安全 CTF

2020-02-19

0 1031

SQL注入攻击与防御举例

SQL注入攻击与防御实例 1.1 以下是一段普普通通的登录演示代码，该脚本需要username和password两个参数，该脚本中sql语句没有任何过滤，注入起来非常容易，后续部分将逐步加强代码的防注入功能。 <?php include 'config.php'; $usern...

SQL注入 web安全

2020-02-25

0 821

[CISCN 2019 初赛]Love Math题解

[CISCN 2019 初赛]Love Math 该题的题目页面是一段代码，代码如下： <?php error_reporting(0); //听说你很喜欢数学，不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__...

代码审计 web安全 CTF

2020-03-11

0 937

极客大挑战2019-http题解

查看网页源码，发现一个文件secret.php。 secret.php的内容如下：页面要求必须从https://www.Sycsecret.com进入，使用python添加headers访问即可。 import requests url = 'http://861-fd096d07-...

web安全 CTF

2020-03-12

0 513

[CISCN 2019]ikun题解

这道题的题目页面如下：题目中要求要买到lv6，但是翻了好多页能买到的都是lv5及以下的物品，写一个脚本爆破一下lv6。 import requests url = "http://7a73bf1c-9801-4509-bc9f-1e894d3df22a.node3.buuoj.c...

反序列化 web安全 CTF

2020-03-12

0 739