0X01代码的详细讲解 0X02代码分析完了 我们来理一下 思路 条件 A POST提交一个number参数的值不能为纯数字 C number取整数后是回文数 D number经过strval转译后的值不能为回文 <?php $str="0e-0%00"; echo $int=intval($str); echo ':'; //转换后数值:123 echo $float=floatval($str); //转换后数值:123.9 echo ':'; echo $str=strva…

实验吧web之头有点大   地址:http://www.shiyanbar.com/ctf/29 flag值:HTTpH34der     解题步骤: 1.进入解题界面,看提示 2.说提示很多,再提示没意思,于是进入解题链接,如下 3.查看源代码并没有发现什么问题,于是决定翻译一下这三行是什么意思,判断跟题意有没有关联 4.现在知道了获取flag值的前提条件,第一点是使用并安装.net framework 9.9,第二点就是确保在英格兰地区使用Internet exploer浏览器浏览站点,据我…

实验吧web之猫抓老鼠     地址:http://www.shiyanbar.com/ctf/20 flag值:KEY: #WWWnsf0cus_NET#     解题步骤: 1.观察题意,说是猫抓老鼠,catch!catch!catch!嘿嘿,不多说了,再说剧透了通过这句话判断是让我们来抓包,于是进入解题页面 2.通过一些列的提交和查询源代码,并没有发现什么问题,于是打开burp进行抓包测试 3.进入解题界面,打开抓包工具,随便输入一点字节或者数字,看burp返回信息 4.根据这个回显判断不…

登陆一下好吗 首先看到两个输入框,分别对应账号密码,随手输个admin,admin进去,提交后发现有回显,既然题目说了过滤了一切,那就先看看过滤了些啥 经过一波测试,发现服务器过滤了union,select,or,for,#,/,* 这就很让人头疼了,没了or就没了万能密码,select也被过滤,我还真想不起来有什么注入语句了 只能去翻看wp学习一下了 一看真的是觉得脑洞大开 方法1: username--> '=' password--> '=' 膜一下大佬的思路: 首先猜测sql语句为:s…

---恢复内容开始--- 实验吧的一道题php审计题.拉下来写一写. http://ctf5.shiyanbar.com/web/PHP/index.php 打开之后说have fun 那就抓包来看看吧 嗯...没啥收获,放在repeater里面看看 是这样的,根据response反馈的信息,我们可以看见 hint(提示) 那就打开它看看吧 代码审计走一波. <?php $info = ""; $req = []; $flag="xxxxxxxxxx"; in…

连接:http://ctf5.shiyanbar.com/web/PHP/index.php 根据题目应该就是代码审计得题,进去就是 日常工具扫一下,御剑和dirsearch.py 无果 抓包,发现返回得响应头里面有提示 访问则拿到源码.. 有次听培训有个学长说,做代码审计看代码顺序,先去找flag在哪儿,快速找到直接从那儿开始看. intval()     返回变量得整数值 strrev()  这个函数让字符串反序. 然后再来看代码里is_palindrome_number()得功能,函数得功…

题目地址:http://ctf5.shiyanbar.com/web/PHP/index.php 抓包在header中发现提示 访问得到源码 <?php $info = ""; $req = []; $flag="xxxxxxxxxx"; ini_set("display_error", false); error_reporting(0); if(!isset($_POST['number'])){ header("hint:6…

http://www.4gamer.net/games/216/G021678/20140714079/     连载第2回的本回,  Arc System Works开发的格斗游戏「GUILTY GEAR Xrd -SIGN-」解说的后篇送到了.前篇的最后预告的那样,本回,是只能看到Anime的3D图形的2D格斗游戏产生所采用的细小方法为中心的介绍.   变形的几何体,替换几何体 GUILTY GEAR Xrd -SIGN-的图形,看上去是Cel Anime风格,并不是什么都采用Toon Sh…

2017-2018-2 20165301 实验四<Java面向对象程序设计>实验报告 一.Android Stuidio的安装测试 实验要求: 参考<Java和Android开发学习指南(第二版)(EPUBIT,Java for Android 2nd)>第二十四章: 参考http://www.cnblogs.com/rocedu/p/6371315.html#SECANDROID,安装 Android Stuidio 完成Hello World, 要求修改res目录中的内容,He…

一直以来都有很多的用户朋友在网上找ChemDraw破解版使用,但是现在厂商清理的厉害,还有国家对知识产权的保护越来越严格,破解版ChemDraw越来越难找了.大家与其花那么多的时候找破解版的,不如买个正版的即省事,又有保障.虽然ChemDraw已经更新,还有很多用户无法遗忘ChemDraw 12.0,足以证明这是一个经典版本,但是生活的真理是“没有实践就没有发言权”,ChemDraw最新版15.1真的更加好用!ChemDraw 12.0破解版现在已经更新至版本——ChemDraw 15.1 Pr…