兵者多诡(HCTF 2016)

兵者多诡(HCTF 2016)

由于本题是在《从0到1CTFer成长之路》一书接触到的。所以算是一种复现吧。题目的css源码,被我从以下源码中剔除。我们直接看PHP源码即可。有四个文件:home.php 和 upload.php 以及 show.php 和 function.php题目源码如下:...
[第一章 web入门]SQL注入-2

[第一章 web入门]SQL注入-2

一、题目初审题目提示我们访问/login.php或者/user.php。我们直接访问网站的根目录提示Forbidden。因此访问题目给出的两个文件。/login.php访问/login.php得到以上页面。发现是一个登录框。可能此页面就是我们的考点。继续...
[第一章 web入门]SQL注入-1

[第一章 web入门]SQL注入-1

进入到页面之后发现是一片文章。文章内容不重要。sql注入嘛,重要的是看url地址和表单它的url是这样的:很明显id是一个参数,我们需要传入一个值进去。我们这里尝试传入id=2。发现文章内容有变化,很明显这是一个查询。尝试...
[第一章 web入门]粗心的小李

[第一章 web入门]粗心的小李

进入到网页之后发现如下文字:当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。小李好像不是很小心,经过了几次迭代更新就直接就把整...
[第一章 web入门]常见的搜集

[第一章 web入门]常见的搜集

进入的网站web页面之后。发现如下文字:文字提示我们敏感文件,而常见的敏感文件有robots.txt、readme.md以及www.zip/rar/tar.gz一、常规文件robots.txt文件是一种叫做robots的协议。其文件常在网站根目录下。告诉网络爬虫...