buu刷题共10篇
BUUCTF:[BUUCTF 2018]Online Tool - buu刷题笔记-安全小天地

BUUCTF:[BUUCTF 2018]Online Tool – buu刷题笔记

打开可以看见是代码审计,我们看看代码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host']))...
沐寒的头像-安全小天地大咖沐寒2022年6月2日 17:42
01105
[RoarCTF 2019]Easy Java - buu刷题笔记-安全小天地

[RoarCTF 2019]Easy Java – buu刷题笔记

解题 一看是一个登录界面,尝试弱口令。密码直接爆出来了,但是FLAG不在这(这是大佬说的,我跑了半天,不知道弱密码是什么) 试了试,sql注入,半天感觉好像也不行,点一下help看看 是很熟悉的...
沐寒的头像-安全小天地大咖沐寒2022年5月31日 18:05
015311
[网鼎杯 2018]Fakebook-安全小天地

[网鼎杯 2018]Fakebook

解题思路 首先登陆页面发现是这样的: 查看源码源码很正常,也没有什么特别的web 目录扫描 获取到robots.txt下面有一个备份文件 <?php class UserInfo { public $name = ''; public $age = 0...
沐寒的头像-安全小天地大咖沐寒2022年5月31日 17:07
014610
[GXYCTF2019]BabyUpload - buu刷题笔记-安全小天地

[GXYCTF2019]BabyUpload – buu刷题笔记

[GXYCTF2019]BabyUpload 进入靶机我们可以看到这应该是通过文件上传一句话木马之后连接蚁剑得到flag首先我们测试一下能上传哪些文件我先尝试上传了.jpg文件发现显示了这样一句话 不能传.jpg文件...
沐寒的头像-安全小天地大咖沐寒2022年5月31日 16:17
03055
[CISCN2019 华北赛区 Day2 Web1]Hack World-安全小天地

[CISCN2019 华北赛区 Day2 Web1]Hack World

读题 sql注入题,而且直接告诉你flag在表flag中的flag字段。让你提交查询id 查询1和2会有回显,输入其它数值都会提示错误。抓包跑一下字典看一下过滤的内容(学到的新技能,原来bp的intruder还...
沐寒的头像-安全小天地大咖沐寒2022年5月19日 20:12
036214
[极客大挑战 2019]PHP-安全小天地

[极客大挑战 2019]PHP

因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯 不愧是我!!! 这不就是文件扫描,dirb什么的都可以,经过一番测试,备份文件名为www.zip 直接在url后面输入www.zip,可以获...
沐寒的头像-安全小天地大咖沐寒2022年4月15日 17:09
03298
[极客大挑战 2019]Upload - buu刷题笔记-安全小天地

[极客大挑战 2019]Upload – buu刷题笔记

[极客大挑战 2019]Upload 题目打开是一个文件上次功能点 首次常规操作二话不说先上传一个一句话木马。 <?php @eval($_POST['123'])?> 页面提示被拦截,并显示not image 那我们进行抓包修...
沐寒的头像-安全小天地大咖沐寒2022年4月14日 19:28
013711
[极客大挑战 2019]Http - buu刷题笔记-安全小天地

[极客大挑战 2019]Http – buu刷题笔记

欢迎来到西南某最大卖鞋厂商 !三叶草安全技术小组(Syclover) 当黑客帝国的梦想成为现实,你就是下一个奇迹缔造者!三叶草安全技术小组(Syclover)等待着同样热爱技术的你~ 打开网页随便翻翻...
沐寒的头像-安全小天地大咖沐寒2022年4月14日 16:14
029511
[极客大挑战 2019]Knife - buu刷题笔记-安全小天地

[极客大挑战 2019]Knife – buu刷题笔记

我家菜刀丢了,你能帮我找一下么 一句话木马也在这eval($_POST['Syc']); 现在的问题是木马有了,不知道文件名和路径,尝试目录扫描之后,居然只有一个index.php 按照ctf的尿性,玩的就是脑回路...
沐寒的头像-安全小天地大咖沐寒2022年4月14日 15:47
020410
[极客大挑战 2019]LoveSQL - buu刷题记录-安全小天地

[极客大挑战 2019]LoveSQL – buu刷题记录

这群该死的黑客,竟然这么快就找到了我的flag,这次我把它们放在了那个地方,哼哼! 遇到sql注入的题目,首先先试试' ' ') ') ') ') 这几种组合,总有一个可以成功,实在没思路就放sqlmap吧 万能...
沐寒的头像-安全小天地大咖沐寒2022年4月14日 15:39
036815