ctfhub技能树

南暮思鸢2 个月前
前端·经验分享·web安全·网络安全·文件上传漏洞·ctf题目·ctfhub技能树
CTFHUB技能树之文件上传——前端验证开启靶场,打开链接:看到提示是js前端验证直接F12查看前端源代码:可以看出对上传的文件做了限制,只能上传.jpg、.png、.gif文件
南暮思鸢2 个月前
经验分享·web安全·网络安全·xss·ctf题目·ctfhub技能树·存储型xss
CTFHUB技能树之XSS——存储型开启靶场,打开链接:发现地址栏中的URL没有GET传参,而且这次是“Hello,no name”还是跟反射型一样的流程:
南暮思鸢2 个月前
经验分享·web安全·网络安全·文件上传漏洞·ctf题目·ctfhub技能树·.htaccess绕过
CTFHUB技能树之文件上传——.htaccess开启靶场,打开链接:直接指明.htaccess绕过方法新建.htaccess文件,内容如下:AddType application/x-httpd-php .png
南暮思鸢2 个月前
数据库·sql·mysql·网络安全·ctf题目·ctfhub技能树·mysql结构
CTFHUB技能树之SQL——MySQL结构开启靶场,打开链接:先判断一下是哪种类型的SQL注入:1 and 1=1#正常回显1 and 1=2#
南暮思鸢2 个月前
数据库·经验分享·sql·sqlmap·burpsuite·ctfhub技能树·referer注入
CTFHUB技能树之SQL——Refer注入开启靶场,打开链接:直接挑明是Refer注入用burp抓包发送到repeater:发现缺少referer报文头,添加一下,判断是整数型注入还是字符型注入:
南暮思鸢2 个月前
数据库·sql·web安全·网络安全·sqlmap·ctfhub技能树·cookie注入
CTFHUB技能树之SQL——Cookie注入开启靶场,打开链接:发现没有注入点,猜测是Cookie注入用burp抓包发送到repeater中:先直接发送看看情况:
南暮思鸢2 个月前
数据库·笔记·sql·网络安全·ctfhub技能树·时间盲注
CTFHUB技能树之SQL——时间盲注开启靶场,打开链接:说明这关对所有信息都做了统一输出,换成延时注入试试输入:1 and sleep(15)
南暮思鸢2 个月前
数据库·笔记·sql·网络安全·ctf题目·ctfhub技能树·整数型注入
CTFHUB技能树之SQL——整数型注入开启靶场,打开链接:直接指明是SQL整数型注入,但还是来判断一下(1)检查是否存在注入点1 and 1=1#
南暮思鸢2 个月前
经验分享·网络协议·web安全·http·burpsuite·ctf题目·ctfhub技能树
CTFHUB技能树之HTTP协议——响应包源代码开启靶场,打开链接:是个贪吃蛇小游戏,看不出来有什么特别的地方用burp抓包看看情况:嗯?点击“开始”没有抓取到报文,先看看网页源代码是什么情况