CTF攻防世界web题

举报
_nojava 发表于 2022/12/01 14:03:58 2022/12/01
【摘要】 攻防世界的一道web题,没思路,看WP也没看懂。感谢我滴茶壶写的 文章 思路:首先进入该页面正常思路嘛,检查源代码啥也没看出来既然有登录和注册俩按钮。那就只能先注册瞅瞅。注册成功之后进入这个页面用Hackbar康康能不能注入(以下是攻防世界里本题为数不多的WP里的憨憨做法)判断此处非单引号闭合。双引号亦然,然后判断为数字型闭合。不做评价开始SQL注入一套组合拳no hack。。。拦截劳资是吧...

攻防世界的一道web题,没思路,看WP也没看懂。感谢我滴茶壶写的 文章

思路:

首先进入该页面

正常思路嘛,检查源代码

啥也没看出来

既然有登录和注册俩按钮。

那就只能先注册瞅瞅。

注册成功之后进入这个页面

用Hackbar康康能不能注入

(以下是攻防世界里本题为数不多的WP里的憨憨做法)

判断此处非单引号闭合。双引号亦然,然后判断为数字型闭合。

不做评价

开始SQL注入一套组合拳

no hack。。。拦截劳资是吧。

此处可以看到 浏览器拦截了union select

那么简单处理一下

通过御剑扫描,就不放图了,这玩意扫一回挺费时间的

简述一下,扫完之后能扫出一个名为flag.php的文件

1处必须填不正常的数

否则正常数据会将咱们想要的信息掩盖住。

二处照茶壶抄的。

三处

填写完毕后

检查网页源代码

嘿嘿,我滴flag!~

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。