Polar靶场web刷题记录】的更多相关文章

攻防世界Web刷题记录(进阶区) 1.baby_web 发现去掉URLhttp://111.200.241.244:51461/1.php后面的1.php,还是会跳转到http://111.200.241.244:51461/1.php 为啥?查看网络 访问111.200.241.244,响应状态码是302,HTTP状态码302 表示临时性重定向,所以会被重定向到服务器希望我们访问的页面,即111.200.241.244/1.php HTTP状态码相关知识: 分类 分类描述 1** 信息,服务器…
攻防世界Web刷题记录(新手区) 1.ViewSource 题如其名 Fn + F12 2.get post 3.robots robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围:如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面. 于是扫描根目录: 4.backup 打开: 常见的备份文件后缀名有: .git .s…
极客2019Knife webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理.服务器管理.权限管理等操作.使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作 白给的shell,密码已经给在网页上了,直接打开蚁剑链接,根目录下就可以找到flag 极客2019upload 文件上传题,木马语句的多种格式绕过 1.先上传了一个shell,更改content-type为image/gif之后出现hint,语句不能用"<?&…
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&前面和后面的都要执行,无论前面真假 &&逻辑与,如果前面为假,后面的命令也不执行,如果前面为真则…
web1 直接F12查看源码,得到flag. web2 直接输入验证码答案,长度被限制,修改可输入长度,提交后得到flag. web3 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 在 PHP 中,预定义的 $_GET 变量用于收集来自 method="get" 的表单中的值.在 HTML 表单中使用 method="get" 时,所有的变量名和值都会显示在 URL 中.直…
目录 刷题记录:[De1CTF 2019]Giftbox && Comment 一.知识点 1.sql注入 && totp 2.RCE 3.源码泄露 4.敏感文件读取 刷题记录:[De1CTF 2019]Giftbox && Comment 题目复现链接:https://buuoj.cn/challenges 参考链接:De1CTF Web WriteUp BUUCTF平台 web writeup 第三弹 一.知识点 1.sql注入 && t…
目录 刷题记录:[强网杯 2019]Upload 一.知识点 1.源码泄露 2.php反序列化 刷题记录:[强网杯 2019]Upload 题目复现链接:https://buuoj.cn/challenges 参考链接:2019 第三届强网杯 Web 部分 WriteUp + 复现环境 一.知识点 1.源码泄露 www.tar.gz 2.php反序列化 看起来文件很大,但是用phpstorm打开的话会发现默认打开的文件里有两个断点,其实是给的hint,指出了反序列化利用的地方.之后常规的反序列化…
目录 刷题记录:[XNUCA2019Qualifier]EasyPHP 解法一 1.error_log结合log_errors自定义错误日志 2.include_path设置包含路径 3.php_value zend.multibyte 1结合php_value zend.script_encoding "UTF-7"绕过尖括号<过滤 4.# \ 绕过.htaccess中多余字符 解法二 5..htaccess配置prce绕过正则匹配 解法三 刷题记录:[XNUCA2019Qua…
目录 刷题记录:[CISCN 2019 初赛]Love Math 思路一 思路二 总结 刷题记录:[CISCN 2019 初赛]Love Math 题目复现链接:https://buuoj.cn/challenges 参考链接:2019CISCN web题赛-JustSoSo;love_math(复现) 2019全国大学生信息安全竞赛ciscn-writeup(4web) CISCN2019Web WP 源码如下: <?php error_reporting(0); //听说你很喜欢数学,不知道…
目录 刷题记录:[De1ctf] shell shell shell 一.知识点 1.源码泄露 2.正则表达式不完善导致sql注入 3.soapclient反序列化->ssrf 4.扫描内网 5.$file[count($file) - 1]和$ext = end($file)获取后缀名方式不同 6.绕过unlink 刷题记录:[De1ctf] shell shell shell 题目复现链接:https://buuoj.cn/challenges 参考链接:De1ctf - shell she…