Track 正式学员

deft

0关注
1粉丝
5文章
返回网站首页

您已发布 5篇文章作品写文章

range_master靶场记录

urldecode二次注入相关知识点:大部分网站通常使用addslashes()、mysql_real_escape_string()、mysql_escape_string()函数或者开启GPC的方式来防止注入,如果某处使用了urldecode或者rawurldecode函数,则会导致二次解码生成单引号而引发注入。我们利用%2527 传入时自动解码一次编程%25,这时addslasher()等相

 2022-10-5
 1 
 632 

南京邮电大学2021的CTF

web1 右键查看源代码右键查看源码,即可发现web2 图片也可以存信息打开之后发现只有图片,我们右键保存到本地记事本打开,发现了flagweb3层层递进没啥思路,展开元素看看,发现了 隐藏网页,打开看看源码发现了flagweb4Not Foundweb5有页面看不出来web6 sql注入 $user = $_POST[user]; $pass = md5($_POST[pass]

 2021-3-15
 1 
 2523