2021暑假刷题
时间:2021-07-12
本文章向大家介绍2021暑假刷题,主要包括2021暑假刷题使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
正式开始暑假啦!虽然做什么事情都没有什么恒心的我,想来还是继续开坑开始做题,这次一定要坚持下去哦
靶场:buuctf(web)
1.[HCTF 2018]WarmUp
这是一道文件包含漏洞的代码审计题目,所以我就去了解了一下文件包含漏洞。
首先文件包含漏洞的起因是php程序员想要更加方便的引用外部数据,外部文件,所以写下了include()函数还有require()等等函数,可以直接用来引用各种外部数据,这也就造成了文件包含漏洞的出现,因为我们可以提交一些恶意数据/代码让include()等函数执行。(感觉基本所有的漏洞起因都是因为恶意输入被执行)
文件包含漏洞分为内部文件包含和远程文件包含,这取决于服务器的php.ini的配置选项allow_url_fopen和allow_url_include是否为ON。ON的话可以加载远程文件,OFF则不行。
然后使用?filename=xxx../../遍历目录
这道题是基础的代码审计题,大概就是传进去的参数会经过多重判断。首先是必须要字符串,不能为空,然后要包含hint.php或者source.php。对于我们传进去的字符串,他在编码之后,截取了两个问号之间的内容,并对其进行了判断是否符合要求。
最后的payload是:http://d1e3dc6a-3f05-4147-a0af-6195a26bb521.node4.buuoj.cn/source.php?file=source.php%253F/../../../../../ffffllllaaaagggg
注:最后的../遍历目录个数需要一个个试,因为不确定到底是哪个
原文地址:https://www.cnblogs.com/everythingispossible/p/15003585.html
- Solidity 智能合约开发语言·数据类型
- 以太坊·Rinkeby 测试网络
- TensorFlow强化学习入门(0)——Q-Learning的查找表实现和神经网络实现
- 【云端架构】网站运维之CDN链接鉴权示例入门(PHP)
- 以太坊·单机多实例演示
- TensorFlow强化学习入门(1)——双臂赌博机
- CTF逆向--.NET与Python篇
- CTF逆向--安卓篇
- hackme.inndy.tw的19道web题解(下)
- hackme.inndy.tw的19道web题解(中)
- hackme.inndy.tw的19道web题解(上)
- CTF中RSA题型解题思路及技巧
- 技术解析 | Web缓存欺骗测试
- SSH僵尸主机挖矿木马预警
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- C++核心准则SF.5: .cpp文件必须包含定义它接口的.h文件
- C++核心准则SF.6:(只)为转换,基础库或在局部作用域内部使用using namspace指令
- C++核心准则SF.7:不要在头文件中的全局作用域中使用using namespace指令
- 二叉树:看看这些树的最小深度
- Hive初体验
- Hive数据的存储以及在centos7下进行Mysql的安装
- 一个改进的数学学习工具
- 配置hive的元数据到Mysql中
- 二叉树:我有多少个节点?
- POST请求和GET请求如何传递和接收解析参数
- 二叉树:我平衡么?
- 机器学习中的常用编码方式(二)
- 个人Next主题配置文件
- 数组中出现次数超过一半的数字
- 二叉树:找我的所有路径?