首页 > TAG信息列表 > 111.200
[SCTF 2018]ZhuanXV
赛题:[SCTF 2018]ZhuanXV 文章目录 赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞 参考链接: 读取文件 使用dirsearch工具进行扫描 发现/list,访问是个登录界面,查看源码 发现背景图片的路径 查看web.xml http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/w攻防世界cookie
首先用抓包试一下,然后发现 然后试着访问http://111.200.241.244:30621/cookie.php 再次抓包,就可以看到提示 最后根据提示,找到flag攻防世界高级WEB题目 (四) --Web_php_include
话不多说直接上代码: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { //strstr函数返回字符串第一次出现的地方 $page=str_replace("php://", "", $page); //正则匹配php://,但是攻防世界-FakeBook
攻防世界-FakeBook 使用dirmap扫描 查看网页,发现只有login和join两个功能,扫描结果: login用于登录,join.php用于注册用户,view.php 因为刚开始使用dirmap,字典很差很多没扫出来,尤其是flag.php 寻找注入点爆破 注册登录后进入http://111.200.241.244:54207/view.php?no=1,可能存在注入