8、XCTF simple_php
小宁听说php
是最好的语言,于是她简单学习之后写了几行php
代码。
打开网站,就看到了下面这个
<?php
show_source(__FILE__); //查看源文件
include("config.php"); //包含config,php
$a=@$_GET['a']; //变量a通过参数a get方式获取
$b=@$_GET['b']; //变量b通过参数b get方式获取
if($a==0 and $a){ //变量a的值=0,用md5方式来比较echo $flag1; //输出flag1
}
if(is_numeric($b)){ //检测变量b是否为数字串exit(); //是的话,并退出脚本
}
if($b>1234){ //当变量b大于1234echo $flag2; //输出flag2
}
?>
F12
,没搞头。
上代码审计,构造payload
。
http://111.200.241.244:52351/?a=0e1&b=1235a
基础知识:
is_numeric
— 检测变量是否为数字或数字字符串
exit
— 输出一个消息并且退出当前脚本
0e1
的MD5
值是0
,1235a
是字符串,直接就绕过is_numeric
的检测,并且大于1234
。
8、XCTF simple_php相关推荐
- 10、XCTF xff_referer
X老师告诉小宁其实xff和referer是可以伪造的. 拦截数据包,修改数据包. X-Forwarded-For: 123.123.123.123 这个必须加在http的请求头. 得到: 必须来自ht ...
- XCTF联赛“出海计划”开启,八月新加坡站国际赛蓄势待发
作为目前全国最高技术水平和最具影响力的网络安全技术对抗赛事,8月24日-25日,XCTF联赛将联合亚洲地区历史最悠久.影响面最广的安全大会HITBSecConf,在新加坡举办HITB GSEC CTF ...
- 全!CTF靶场、渗透实战靶场总结 (适合收藏)
CTF靶场.渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门.提升自己.丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯): 渗透实战靶场: ...
- XCTF国际联赛总决赛 八大看点抢先解读!
7月16日,第二届XCTF国际联赛总决赛暨网络安全技术论坛将在北京国际会议中心拉开帷幕.比赛即将打响,比赛和现场活动细节曝光,引发国内外网络安全行业人士广泛关注,下面就来提前揭秘现场的八大看点. 看点 ...
- 第七届XCTF国际网络攻防联赛总决赛战队巡礼!
Super Guesser国际联合战队创建于2020年,成立伊始便在HITCON.SECCON.Dragon CTF等大型国际CTF赛事中大放异彩,接连斩获赛事冠军.2021年,Super Guess ...
- 1月全球CTF比赛时间汇总来了!
● 从事网络安全行业工作,怎么能不参加一次CTF比赛了! 小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣! 下面给大家分享一下1月份CTF比赛时间,比赛按时间先后排序,国内国外的都有哦!临近新年 ...
- 逐鹿强网,金陵折桂,四届老将0ops战队如何称雄
第四届"强网"拟态防御国际精英挑战赛于2021年11月12日闭幕.本届大赛由中国工程院.江苏省人民政府.国家互联网信息办公室网络安全协调局.科学技术部高新技术司作为指导单位,南京市 ...
- 赛宁网安-r3kapig联合战队冲击DEF CON CTF 2022总决赛
1993年,DEF CON黑客大会正式创办,第一届DEF CON CTF则始于1996年,是全球同类赛事中最具影响力的赛事之一,在圈内有着"黑客世界杯"的美誉. DEF CON C ...
- 惊喜警报!Mini XMan线上快闪活动即将来袭!
提问: XMan Talk+限时攻防挑战赛+丰厚的奖品盲盒=??? 答: 一场好玩有趣的Mini XMan线上快闪活动!!!(超大声 2022年8月26日19:00-21:00,Mini XMan线上 ...
最新文章
- HtmlUnit解析动态网页并采集网页列表到Excel
- SQLite学习手册(命令行工具)
- 以基因大数据推进“精准医疗”规划
- 先生,要点单吗? (HTTP协议概览)
- 安川机器人焊枪切换设定方法_【分享】焊接机器人的性能要求与系统构成
- Java不支持创建范型数组分析
- CAS单点登陆,URL多出个参数jsessionid导致登陆失败问题
- android windowmanager 分析,WindowManagerService
- 怎么恢复苹果内置的计算机,苹果还原系统的方法_苹果电脑Mac如何恢复出厂系统-win7之家...
- Android识别图片坐标,Android 取到ImageView背景图片中某处的相对坐标
- 马未都说收藏:陶瓷篇(3、4、5)宋瓷-官窑-汝官哥钧定
- WINDOWS symbols
- sklearn机器学习:随机森林学习与调参
- 蘑菇街iOS客户端应用源码
- .net EF 新手教程
- 带空格直角三角形图案的输出-c++
- vue-cli: v-on事件绑定 的用法
- 【python机器学习基础教程】(四)
- 匕年级下册计算机计划,七年级下学期班主任工作计划
- 华为dhcp+ac+ap组网实验
热门文章
- 什么玩意?快读快写浮点型数据?
- sersync 实现实时数据同步
- U8+开发交流平台 - http://u8dev.yonyou.com
- Android开发经验的有效总结,附架构师必备技术详解
- oppo手机语音转文字其实很简单,学会这个方法,一分钟搞定课堂笔记
- 隐马尔科夫模型(HMMs)之五:维特比算法及前向后向算法
- 通过 bitbake 移植 qrencode 到嵌入式
- 测试开发之路--喷喷埋雷的事,吵吵代码的情
- 可可金融COO李劳:启蒙时期3类优质数字资产的逻辑与研判
- 热衷编程的CEO:吉姆.古德奈特