最近在练习sql注入写脚本,记录一下思路,刚学的and 1=1也拿出来溜溜 http://119.23.73.3:5004/?id=1 首先,没有被过滤是正常显示. 没有被过滤但是查询不到就是空白,比如?id=99999 waf过滤关键词,提示whatfuck ① 我首先判断的是有没有用trim()函数,要知道trim函数和过滤是不一样的. 区别很简单,举个例子.trim默认移除字符串左右两边的空格 http://119.23.73.3:5004/?id=1(此处1后边有空格) 如果使用了tri…

moctf 逆向第一题:SOEASY 这个是个 64 位的软件,OD 打不开,只能用 IDA64 打开,直接搜字符串(shift+F12)就可以看到 moctf 逆向第二题:跳跳跳 这个题当初给了初学逆向的我很大的成就感,当时就学了改指令爆破,根本不会分析算法,这就能做出一道题还是很舒服的 打开程序,是个猜数游戏 载入 OD 搜索字符串 双击跟过去看看,很清晰了,那个 jnz 是关键,只要不让这个跳转实现就正确 那就直接把他 NOP 掉吧 保存出来 随便输入,最后还是可以成功出来 flag 这个…

最新更新已转移至个人博客http://rasang.site 1.一道水题 题如其名,查看源代码就可以看到flag 2.还是水题 尝试输入,发现输入失败,于是F12直接修改数据 直接删除disabled,修改长度为5 3.访问限制 很简单,使用tamper data修改firefox为NAIVE就可访问flag 4.机器蛇 直接进入源代码,发现下面有个提示,进入robots.txt文件查看 访问flagxxxxxxxxxxxxxx.php的那个页面即可获得flag 5.php黑魔法 题目提示ph…

MOCTF-WEB-writeup 好菜,除了简单的几个题,自己会做,难的都是看老大WP完成的,太菜了 啥姿势都不会,就此记录一下,供日后查看及反省.菜鸡的自我修养 0x01 一道水题 题目链接:http://119.23.73.3:5001/web1/ 直接F12了解一下,get flag:moctf{easy_source_code} 0x02 还是水题 题目链接:http://119.23.73.3:5001/web2/ F12查看源码. 修改之后,输入moctf提交就可以行了.get f…

昨天尝试了一系列的可疑模块拦截试验,尽管最终的方案还存在着一些兼容性问题,但大体思路已经明确了: 静态模块:使用 MutationObserver 扫描. 动态模块:通过 API 钩子来拦截路径属性. 提到钩子程序,大家会联想到传统应用程序里的 API Hook,以及各种外挂木马.当然,未必是系统函数,任何 CPU 指令都能被改写成跳转指令,以实现先运行自己的程序. 无论是在哪个层面,钩子程序的核心理念都是一样的:无需修改已有的程序,即可先执行我们的程序. 这是一种链式调用的模式.调用者无需关心…

前言 网购已经不再是现在的时髦,而变成了我们每天的日常生活.上网已经和买买买紧密地联系在了一起,成为了我们的人生信条.而逛街一词,越来越多地变成了一种情怀.有时候我们去逛街,要么是为了打发时间,要么是想亲手摸摸商品本身,要么就是想看看不同的商品,放在眼前或者在脑海里比较一下.毕竟现在网上琳琅满目的商品让人眼花缭乱,一次展示一个,看完这个,忘了上一个:看完了最后一个,已经没有力气再打开长长的历史列表一个一个看回去.如果没有石猴的火眼金睛,如何万里挑一,找到自己中意的那个‘它’呢?毕竟我们大多数人,…

日常的网页开发调试工作中,经常需要知道指定的某个网页元素绑定了哪些事件以及绑定代码的位置,下面介绍三种用来跟踪页面中的事件的方法. 1.使用firefox调试 我们可以使用firefox的debug工具,找到指定元素,然后查看事件面板 2.使用chrome调试 在要检查的元素上单击右键选择查看元素,然后,右边的面板中会显示style标签,切换到EventListenrs标签,可以看到相关的事件绑定信息.点击最右边的文件名称还可以跳转到事件定义代码在脚本文件中的位置.不过这种方法并非总是可用,下面…

× 目录 [1]默认绑定 [2]隐式绑定 [3]隐式丢失[4]显式绑定[5]new绑定[6]严格模式 前面的话 如果要问javascript中哪两个知识点容易混淆,作用域查询和this机制绝对名列前茅.前面的作用域系列已经详细介绍过作用域的知识.本系列开始将介绍javascript的另一大山脉——this机制.本文是该系列的第一篇——this的4种绑定规则 默认绑定 全局环境中,this默认绑定到window console.log(this === window);//true 函数独立调用时…

俗话说的好啊,“工于利启事,必先善其器”,如果说你的编程功底是一个枪法的话,那么强大的eclipse就是android战士们最好的武器. 这里,我们来总结eclipse的使用技巧,从而使我们的编程达到一个事半功倍的效果. 一.我的地盘我做主——切换工作空间,拷贝相应工作空间的样式. 工作空间就是你的工程项目放在的位置.这本身没有什么好说的,但是大概80%程序员就把所有的项目放在同一个工作空间下面.就像这样子: 这样子虽然没有什么大问题,但是至少带来了2个坏处: 一.eclipse打开的时候加载的…

上了四个星期决不情愿的自习,终于找到了她上自习的规律, 每个星期五肯定在主教楼525第三排中间,其实第一眼看见她已经喜欢她了,在她周围坐了十天之后更觉得她是我喜欢的那种女孩, (不是每天都能见到她),纯洁,平静中不失活泼,当然,容貌和气质是吸引我的第一要素.下定决心追她,在请教了一大堆师傅哥们高手情圣之后,选定一条绝世好招.  这个星期五,早早占好第四排中间的位置(六点就起床了,sigh), 剩下的就要冀望于自己的推理分析判断研究假设能力了,天从人愿, 美丽的蝴蝶落在了我的前面,强迫自己目不斜视…