Lengkur

本文档原始附件已同步到博客：/pdfs/web160-文件上传-.user.ini+日志包含.pdf。 点此下载附件

1.先上传一个.user.ini配置文件，这要加上GIF89a，这是GIF文件的图片头，以便绕过过滤 12GIF89aauto_prepend_file=shell 意思为在所有php文件前插入shell文件的内容 当然上传这种配置文件要求当前目录要有.php文件，可以扫描目录发现有个i...

本文档原始附件已同步到博客：/pdfs/web171-SQL注入-联合.pdf。 点此下载附件

本文档原始附件已同步到博客：/pdfs/web329-存储型XSS+jquery选择器+querySelector选择器+XSS数据外泄.pdf。 点此下载附件

1.打开靶场，在用户管理可以知道有些东西管理员才能看，通过web328也可以知道flag就在这个位置 2.查看源码可以知道CSS 选择器为div.layui-table-cell.laytable-cell-1-0-1，所以可以尝试用选择器获取管理员的页面信息 3.构造payload，...

1.这次多了个改密码的功能，注册登录后试了一下改密码，发现是直接改的没有要求输入旧密码，这题用到的方法像是csrf，有点像钓鱼，在修改密码确定后抓包，可以看到是在/api/change.php文件改的，get传参p 2.构造payload 1<script>...

1.和上一题差不多，抓包后可以看到这次用的时post改密码 2.和上一题一样的思路，用户名和密码为payload，管理员访问直接执行，可以用jQuery.ajax来传参 要调用jQuery.ajax，必须要页面引用了jQuery，要查看是否页面引用了jQuery，可以在浏览器控制台输入$或...

提示：打无密码的mysql 1.查看源码可以知道POST传参有u和returl，returl可以传url，构成ssrf，目标为当前目录check.php 2.使用gopherus帮助生成针对Gopher协议的payload，SQL语句执行生成/var/www/...

1.提示redis数据库，用gopherus来帮我们生成请求 1gopherus --exploit redis 2.因为要经过两个服务器，所以得到的请求还要再url编码一次，最终payload 1url=gopher://127.0.0.1:6379/_%252A1%250D%250A...

1.get传参变量name为ssti注入点，经过模糊测试过滤如下，寻常调用对象和类的方式都被过滤了 1ffuf -u "http://11a5d5b2-d9ba-490f-86bc-df70f91a8b56.challenge.ctf.show/?name=FUZZ" -...

1.模糊测试加了过滤数字 1&#123;%set b=dict(aaaa)|join|count%&#125;为4，所以这里用count绕过 payload同上一个题一样，只是加了构造数字 1234567891011&#123;%set b=dict(cccccc...

1.模糊测试新增过滤print {%%} 1__builtins__的eval没有过滤，可以用这个函数反弹shell，或者直接把/flag的内容传到服务器上 12345我们直接用chr来把数字转成字符那样一个个转count用来计数的jinja2的~会把两边都转成字符串...

SourceURL:file:///home/hack/files-win/CTF/WP/三届长城杯/AI_WAF.docx AI_WAF [图片缺失] 原始路径：file:////tmp/wps-ha...

本文档原始附件已同步到博客：/pdfs/简单-session文件包含.pdf。 点此下载附件