swpu2019专题

CTF例题:[SWPU2019]Web1(无列名注入)

网址:BUUCTF在线评测 搜索web1 启动靶机  点击链接进入题目  进入题目后发现有登录和注册接口,直接注册登录。 首先通过1'进行测试,查看是否有注入点 出现报错,说明可能存在注入点  然后继续测试发现该服务器过滤了: or、information、join、and、#、空格  由于or被过滤无法使用order by爆出列数 方法一:可以使用g

BUUCTF misc 专题(65)[SWPU2019]你有没有好好看网课?

下载附件,发现有两个压缩包   flag3中   flag2中   发现都需要密码,看到了flag3的压缩包提示 那么就用ARCHPR进行爆破    爆破出密码,打开 打开影流之主视频,仔细看会发现视频上方有东西 第五秒左右 第七秒左右 第一个应该是敲击码了   以/为分隔(这里用记事本演示)..... ../... ./... ./... ../

BUUCTF---misc---[SWPU2019]我有一只马里奥

1、下载附件是一个.exe文件 2、运行之后可以看到桌面生成了1.txt文件,文件里面有如下内容 3、经过信息搜索:NTFS(New Technology File System)是一种由Microsoft开发的专有日志文件系统。根据它的提示,应该是把flag.txt文件给保护了。 4、在桌面建一个文件夹存放1.txt 5、接着右键打开终端并使用下面指令来查看ntfs数据流中文

BUUCTF misc 专题(65)[SWPU2019]你有没有好好看网课?

下载附件,发现有两个压缩包   flag3中   flag2中   发现都需要密码,看到了flag3的压缩包提示 那么就用ARCHPR进行爆破    爆破出密码,打开 打开影流之主视频,仔细看会发现视频上方有东西 第五秒左右 第七秒左右 第一个应该是敲击码了   以/为分隔(这里用记事本演示)..... ../... ./... ./... ../

[SWPU2019]Web3 ----不会编程的崽

ctf的知识点太多了,多的都记不住。只能说又收获一点点啦  又是这种熟悉的登陆界面,时常做sql注入的恶梦。好在不是sql注入。不用注册,随便登录就行,  同时检查里边抓包。 1.有一个upload,但是权限不够 2.数据包里的cookie含有phpsessionid,有点像jwt格式,但是jwt并不能识别 大概能猜到了,多半要伪造cookie,获取权限然后文件上传。在首页源代码里发

BUUCTF misc 专题(47)[SWPU2019]神奇的二维码

下载附件,得到一张二维码图片,并用工具扫描(因为图片违规了,所以就不放了哈。工具的话,一般的二维码扫描都可以) swpuctf{flag_is_not_here},(刚开始出了点小差错对不住各位师傅)根据提示知道答案并不在这里,拖入winhex进行查看 搜索出多个Rar,将文件放入kali进行binwalk 分离出了多个rar ,先查看txt文档中的内容YXNkZmdoamtsM