BUUCTF：[第一章 web入门]常见的搜集 比起那些需要技巧的ctf赛题，还是感觉这种信息收集吸引人 寻找有用的信息 首先看了一下源码貌似没发现什么有价值的东西然后顾名思义估计是要在站点的路径中...

本题考查对linux系统中/proc/目录下文件作用的了解，同时考查了flask模板注入关于/proc/目录Linux系统上的/proc目录是一种文件系统，即proc文件系统。与其它常见的文件系统不同的是，/proc是一...

读题 sql注入题，而且直接告诉你flag在表flag中的flag字段。让你提交查询id 查询1和2会有回显，输入其它数值都会提示错误。抓包跑一下字典看一下过滤的内容（学到的新技能，原来bp的intruder还...

[GXYCTF2019]BabyUpload 进入靶机我们可以看到这应该是通过文件上传一句话木马之后连接蚁剑得到flag首先我们测试一下能上传哪些文件我先尝试上传了.jpg文件发现显示了这样一句话 不能传.jpg文件...

解题思路 首先登陆页面发现是这样的： 查看源码源码很正常，也没有什么特别的web 目录扫描 获取到robots.txt下面有一个备份文件 <?php class UserInfo { public $name = \'\'; public $age =...

1. 前言 渗透的本质是信息收集，这里整理了一些渗透搜索引擎，帮你提高信息收集的效率，找到互联网背后的脆弱面，以下例举的搜索引擎排名不分先后。 2. 国内 2.1 fofa 官网：https://fofa.info/...

打开可以看见是代码审计，我们看看代码 <?php if (isset($_SERVER[\'HTTP_X_FORWARDED_FOR\'])) { $_SERVER[\'REMOTE_ADDR\'] = $_SERVER[\'HTTP_X_FORWARDED_FOR\']; } if(!isset($_GET[\'h...

打开，依次尝试点开三个页面，查看各自的源代码，只有一个ip有用，因为题目说的是ip，大概率和X-Forwarded-For有关，关于这个的解释，请大家移步查看这篇文章 X-Forwarded-For 和 X-Real-IP 的...