BUUCTF-web ZJCTF,不过如此
很明显要利用伪协议读next.php base64解码后查看源码1
很明显要利用伪协议读next.php base64解码后查看源码1
正如本题所说,脑洞有点大。考点还很多,不过最核心的还是python的pickle反序列化漏洞题目中暗示了要6级号,找了很多页都没看到,于是写了脚本在第180页有6级号,但是价格出奇的高,明显买不起。bp抓包发现有疑似折扣…
注册并登录后发现,sql注入,注入点在广告申请的界面。加单引号发现报错 先通过insert插入数据,然后再通过id查询相应的数据,所以是二次注入。常见报错函数updatexml,floo…
dirsearch扫出/.git/目录 遂用航神写的Githacker脚本 https://github.com/wangyihang/githacker出来的源码并不完整,使用gitlog--ref…