1.SQL查看源代码:题目告诉了我们SQL语句,下面是fuzz测试,发现:过滤了:order select /**/尝试通过大小写、双写、url编码、hex编码、char编码、内联注释绕过,均失败,接…
1.小菜一碟下载文件判断是apk文件,运行看看:看来输入的字符很有可能就是flag,用android killer打开分析一下,搜索关键词“please try again”,定位关键代码:看一下ja…
前段时间,参加一次CTF线下攻防赛,用的是某cms,里面有一个SQL注入漏洞,挺有意思,记录一下分析心得。系统后台登陆处存在SQL注入,在后台登陆用户名处加个’测试一下:发现报错,十有八九存在SQL注…
1. web upload题目说可以上传任意文件,那就试试直接上传php,内容:<?phpphpinfo();?>访问一下文件,发现<?php 和php被过滤了,这里想到绕过<…