XCTF_Web

XCTF_web get_post

题目:GET_POST【攻防世界】http://111.198.29.45:59215/0x01进入网页index.php打开网站,看到提示,于是在搜索栏网址后添加/?a=1后回车,发现出现新提示,要我们用POST方式再提交一个新变量。0x02另辟蹊径不懂,遂百度查wp,发现都是用火狐浏览器(Firefox)中的hackbar插件来实现POST提交,然而我电脑并未下载这个浏览器,嫌麻烦,从网页控制
W1z4rd101·2023-03-11 05:39

xctf_web upload1

题目一打开就只有上传界面习惯性的后台扫描一下没有可以页面,看来目标就在这个上传功能上面了。尝试上传php文件,报错。这里我尝试传了一个图片马,能成功上传但是菜刀无法执行。f12检查源码,发现前端有一个js验证,有一个白名单过滤,只允许上传png或jpg文件。这里我们可以直接前端删除这段js函数。然后选择上传一个php文件,刷新即可成功上传。网站直接给出了上传地址。访问该链接,由于php文件中尝试了
fly夏天·2020-06-30 01:07

xctf_web ics-05

刚打开网站点击各个按钮发现除了一个index页面,没有别的变化。尝试扫描,没扫出东西,看来问题就在这个index页面上了这里我尝试查看了源码,并没有发现啥有用的东西。只有一个可传参的参数page。拜读了大佬的攻略,才发现可以利用文件读写漏洞读取源码。page=php://filter/read=convert.base64-encode/resource=index.phpphp://filter
fly夏天·2020-06-21 14:37

xctf_web Web_php_unserialize,关于php反序列化的思考

先来看题目,题目说是php_unserialize可见是php序列化的题目。打开网页时一段源码file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this->file!='index.php'){//thesecretisinthefl4g.php$this->
fly夏天·2020-06-21 14:07
上一页 1 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他