Web 1.fake google 打开题目的主要界面是一个谷歌的搜索界面,在搜索框输入内容后会有一个新页面不管输入什么,输出都是P3’s girlfriend is :xxxxxxx在这个页面查看源代码,发现有一段被注释的代码 从这段代码可以知道是ssti注入试了试config,有回显查看flag flag{fc4ec771-f9e0-4ad4-afe0-80dfd22dab37} 2.old-hack 查看源码没有什么收获,主页上写的thinkphp5,而版本就是5.0.23查看根目录,看到了flag 查看fl…
less1 1.输入id=1,得到了ID和Password 2.and 1=1 和 1=2都没有报错 3.加上单引号后出现报错,可能存在SQL字符注入 4.用–+将‘注释掉后回显正常,说明这里是单引号字符型注入 5.用order语句判断列数,order by 3没有报错,改为4的时候出现回显错误,说明这个表有3列 6.将id=1改为一个数据库不存在的id,用union select 1,2,3联合查询语句查看是否有回显 发现输出了2和3,说明有两个回显位 7.用sql语句,查询数据库名 8.用sql语句,查询sec…
简单MISC 附件里有一张图片和一个压缩包在kali里用binwalk扫一扫并分离得到ctf.txt,查看是莫斯密码解码得到压缩包密码,得到flag.txt,里面是一串base64码解码得到flag
1.view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了 打开题目发现右键被禁用了根据题目可以知道,flag应该是在源代码中使用开发者工具可以查看源代码,得到flag 2.robots 题目描述:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧 首先百度了一下什么是robots协议大概了解了一下之后,访问robots.txtdisallow的东西就是被屏蔽掉的,访问一下试试得到了flag 3.backup 题目描述:…
题目地址:http://www.whalwl.top:8013 题目描述: 菜刀一句话:http://www.whalwl.com:8013/webshell.php密码: whalwl我一开始是直接将题目的URL上传到蚁剑,但是并没有链接成功,于是访问题目中的菜刀一句话,再上传蚁剑上传成功后打开文件管理一个一个 查看,发现在init.php中有我们需要的东西按照要求连接数据库找到flag以后打开直接执行这条命令得到flag 总结 做这道题一开始我按照我以前的思路,在虚拟终端里查找关于flag的文件,但是没有找到,…
