2 仰望星空world

尚未进行身份认证

暂无相关描述

等级
TA的排名 155w+

Bugku INSERT INTO注入(时间盲注)

拿到题目看到源码:error_reporting(0);functiongetIp(){$ip='';if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];}else{$ip=$_SERVER['REMOTE_ADDR'];}$ip_arr=expl...

2019-03-07 21:04:28

异或注入

在计算机中异或为一种逻辑运算,两个条件相同即为假(0),两个条件不同即为真(1)。异或注入可以判别过滤了哪些字符。在MySQL中,异或可以用'^'表示。用mysql测试一下:1^1结果为假,所以结果为空0^0结果为假,结果为空1^0结果为真,结果不为空用上述方法可以判别一些字符是否被过滤。...

2019-02-28 20:33:42

updatexml()报错注入

首先了解下updatexml()函数UPDATEXML(XML_document,XPath_string,new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:XPath_string(Xpath格式的字符串),如果不了解Xpath语法,可以在网上查找教程。第三个参数:new_value,Strin...

2019-02-28 19:40:42

Bugku web 秋名山老司机

打开网页如图:明显是要客户端计算出上述结果并发送给服务器,但是有个条件就是在两秒之内,只好写脚本 记得要用requests.session,否则第二次返回的数据与第一次返回的数据不同。 ...

2018-11-14 20:42:38

Bugku web 备份是个好习惯

打开题目如图: 根据提示,御剑扫描一波: 发现index.php.bak,下载打开发现如下源码: strstr()函数搜索字符串在另一字符串中的第一次出现。$_SERVER是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(scriptlocations)等等信息的数组。'REQUEST_METHOD':访问页面使用的请求方法;例如,“GE...

2018-11-05 22:44:38

http头各字段含义

HTTP头部解释 1.Accept:告诉WEB服务器自己接受什么介质类型,*/*表示任何类型,type/*表示该类型下的所有子类型,type/sub-type。 2.Accept-Charset:浏览器申明自己接收的字符集 Accept-Encoding:浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法(gzip,deflate) Acce...

2018-10-30 22:39:59

BugkuCTF WEB矛盾

题目源代码:$num=$_GET['num'];if(!is_numeric($num)){echo$num;if($num==1)echo'flag{**********}';}is_numeric()函数用于检测变量是否为数字或数字字符串。题目要求用GET方式传递num参数,要求num不能是数字或数字字符串,并且等于1;is_numeric函数对于空字符%00...

2018-10-14 21:15:08

MySQL数据库information_schema

 information_schema是MySQL自己创建的一个数据库(安装完成之后就会有)information_schema保存了所有表和列的相关信息SQL注入经常要用到MySQL中information_schema数据库中的内容,下面是MySQL中的数据库:下面是information_schema中的表: TABLSES表中保存了MySQL数据库中所有的表信息(包括自己...

2018-09-28 16:49:50

逆向入门

一、了解REVERSE     REVERSE是CTF竞赛中的一种常见题目类型,主要考察参赛选手逆向工程相关的知识,考查形式为通过对一个二进制程序(exe、dll或者是elf等)进行逆向分析,了解程序内部的实现机制,最终目的可能是得到一个密码,或者是编写一个注册机用于计算指定用户名对应的注册码等。 二、PEiD     PEiD是一款著名的查壳工具,其功能十分强大,几乎可以侦测...

2018-09-10 19:37:46
勋章 我的勋章
    暂无奖章