欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

中国广东省CTF强网杯题目 Web部分了解

来源:本站整理 作者:佚名 时间:2017-09-20 TAG: 我要投稿

周末打了一场CTF,只做了Web部门,学到很多器械,不外Web题量太少了,两天赋4题。上面是详细解题思绪。
0×01 WP注释
第一题

标题给了一个损坏的jsfuck,修复一下解密便可,将开首[[改为[][,然后转换成代码便可看到flag。留意这里不要将代码间接放在控制台运转,由于flag被赋值给一个变量了。


解密地点:https://enkhee-osiris.github.io/Decoder-JSFuck/
第二题
拜访链接,发明被制止拜访,抓包发明,role参数有点奇异role=Zjo1OiJ0aHJmZyI7


依据标题提醒我是谁?我在哪?我要干什么?将s:5”admin”停止rot13加密再base64加密发送数据包,就以admin身份登录出去了。

检查网页源代码发明必要POST数据给服务器

那就随意POST数据filename=test1.php&data=发明被拦阻,然则POST数据filename=test1.txt&data=能够,并且给出了门路,也能够拜访到。这里应该是做了限定。能够预测后盾代码应用了file_put_contents()函数,因而依据PHP手册先容,第二个参数能够是数组

假如第二个参数传入的是数组,则会将他们以字符串的情势拼接起来,测试以下:

获得门路后拜访既得flag


第三题
考核sql二次注入,随意注册便可登录,登录后发明有个check按键能够查问有若干人的号码和你同样,如许必定要用到电话号码,并查问数据库,而电话号码只能是数字。以是,思绪便是将sql语句转换成16进制停止注册,如许在查问的时刻就会履行咱们结构的sql语句








[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载