第一届贵州理工校赛--网络知识小站

已于 2025-05-21 23:12:09 修改
阅读量1.3k 收藏 23
点赞数 39
CC 4.0 BY-SA版权
文章标签: 安全 sql
于 2025-05-21 23:08:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hj06112/article/details/148124716

靶场地址:天狩CTF竞赛平台

来吧开搞

页面下方提示找到隐藏的flag,ctf题目一般首先就是查看源代码,此题的主要思路点在源代码中,如下所示

const xhr = new XMLHttpRequest(); xhr.open('GET', `view.php?id=${encodeURIComponent(id)}`, true); xhr.onload = function() { if (xhr.status >= 200 && xhr.status < 300) { contentDisplay.innerHTML = xhr.responseText; } else { contentDisplay.innerHTML = `<p class="error-message">加载内容失败。服务器状态: ${xhr.status}</p>`; } };

 页面中的JavaScript代码使用XMLHttpRequest向`view.php?id=`发送GET请求,根据不同的id加载内容。可能`view.php`存在漏洞,比如SQL注入。

那么破局点就在这,如下所示

出现报错了,确定了就是sql注入,接下来就是尝试爆字段数了,但是出现了一些问题

最低0.47元/天 解锁文章

200万优质内容无限畅学
jieyu1119
关注
麻省理工学院 - MIT - 线性代数学习笔记
m0_52695557的博客
07-20 2179
由上式可知,我们把左边的矩阵(初等矩阵)当成3个1*3的行向量,右边的结果的第一行=左边第一行的第一个数 * 中间第一行 + 左边第一行的第二个数 * 中间第二行 + 左边第一行的第三个数 *中间第三行,所以结果为:1,0,0,以此类推第二行为-3,1,0(-3 * 中间第一行+1 * 中间第二行),第三行为0,0,1。如果还是不明白,因为我们已经知道A * A逆=A逆 * A=E,所以下面那个式子还可以写成,A转置的逆*A的转置=E,逆矩阵又是唯一的,所以A逆的转置=A转置的逆。(同理也可以去掉列一)
2015年第一届中国大学生程序设计竞总结
herongwei 的 BLOG
10-19 2466
先上个终榜:http://board.ccpc.io 比已经过去了两天,然而现在回想起来,事情就想发生在昨天一样,历历在目,怀着激动而又遗憾的心情,回顾一下当时比的场景。 首先能够在自己的学举办第一届,能够代表学参加比,集训队的每个成员都知道这是一个怎样的机会,感到荣幸又觉得充满很大的挑战,我们深知对手是全国众多985,211,高的强队,我们深知如果把自己放到全国是怎样一种水平
第一届贵州理工CTF
hj06112的博客
05-21 805
这是一个一个简单的Flask应用,涉及GET和POST请求处理,以及Base64解码,那么最主要的点在于此ssti模板注入通过参数name进行传递,那么也就是说通过url?其中e3s3Kjd9fQ==为{{7*7}}的base64编码,那么接下来构造payload,然后进行base64编码即可,含义:__globals__ 是Python函数的属性,返回函数所在模块的全局命名空间(字典)。作用:获取当前模块的全局变量,包括所有导入的模块和内置函数。好了,此题目比较简单,适合刚入门的,后续会继续更新。
第一届贵州理工--ez-ser
hj06112的博客
05-21 743
反序列化这里可能存在漏洞,因为用户可以控制输入的数据,构造特定的序列化字符串,触发GIT的析构函数中的条件,或者触发ZeroZone的__toString方法中的eval。这个知识点页面即是知识总结,也是一种提示,说明此题目的主要是php反序列化,对于刚接触ctf的伙伴来说,此页面总结还可以,主要是简洁易懂,刚入门的小伙伴可以保存下来,这也是一个好的知识点总结。嗯,代码审计,对于这类题目,如果有些小伙伴没有接触过php脚本语言,可以把代码给AI分析,AI分析的还是很详细的,那么来解释一下代码。
第一届贵州理工--ez-sqli&&ez-include&&ez-include-plus
hj06112的博客
05-22 1265
过滤了许多协议,但是也有其他的协议没有过滤,比如input,此题可以用input解题,但是此黑名单过滤存在一定缺陷,因为不可能把全部过滤了,所以此过滤机制只是过滤了data://,但是并没有过滤data,为什么可以这样操作,这就涉及。ok,flag出来了,此题也可以使用input来解题,两种方法都是可行的,还是挺简单的,没有过滤,那么接下来的一题就存在过滤。关于文件包含的知识点,小伙伴觉得有用的,可以保存下来,那么此题的思路应该就是文件包含了。input协议是个可以访问请求的原始数据的只读流。
如果你也23岁
热门推荐
gao_chun
10-15 7万+
分享一下这篇文章: 23 岁那年你正处在哪个状态?现在呢?  我,23岁,应届毕业生。生活,工作,爱情都处于人生的低谷,一穷二白,一无所有,一事无成。 分享一下成长的建议吧。 匿名用户 23岁那年...就是去年......  在22岁的时候我毕业,同时第二年准备考研,结果因为压力太大,期望太高,又失利了,但是我依然满怀信心和憧憬  在我23岁那年四月,当我深爱的女孩(在这之
23岁的一无所有,其实是理所应当的
gaojiyinhang2的专栏
10-30 2万+
23 岁那年你正处在哪个状态?现在呢?  我,23岁,应届毕业生。生活,工作,爱情都处于人生的低谷,一穷二白,一无所有,一事无成。 分享一下成长的建议吧。 匿名用户 23岁那年...就是去年......  在22岁的时候我毕业,同时第二年准备考研,结果因为压力太大,期望太高,又失利了,但是我依然满怀信心和憧憬  在我23岁那年四月,当我深爱的女孩(在这之前我追了她四年)说她要去北
20多岁的一无所有,其实是理所应当的
黑白相间...
11-14 2万+
转载:https://blog.csdn.net/kangwrite/article/details/36184819 23 岁那年你正处在哪个状态?现在呢?&amp;nbsp; 我,23岁,应届毕业生。生活,工作,爱情都处于人生的低谷,一穷二白,一无所有,一事无成。 分享一下成长的建议吧。 匿名用户 23岁那年...
23 岁那年你正处在哪个状态?现在呢?
蓝色的杯子
03-21 1万+
23 岁那年你正处在哪个状态?现在呢? 我,23岁,应届毕业生。生活,工作,爱情都处于人生的低谷,一穷二白,一无所有,一事无成。 分享一下成长的建议吧。 匿名用户 23岁那年...就是去年...... 在22岁的时候我毕业,同时第二年准备考研,结果因为压力太大,期望太高,又失利了,但是我依然满怀信心和憧憬 在我23岁那年四月,当我深爱的女孩(在这之前我追了她四年)说她要去北
二十三又是谁的二十三
weixin_48897289的博客
12-25 3万+
23 岁那年你正处在哪个状态?现在呢? 我,23岁,应届毕业生。生活,工作,爱情都处于人生的低谷,一穷二白,一无所有,一事无成。 分享一下成长的建议吧。 匿名用户 23岁那年…就是去年… 在22岁的时候我毕业,同时第二年准备考研,结果因为压力太大,期望太高,又失利了,但是我依然满怀信心和憧憬 在我23岁那年四月,当我深爱的女孩(在这之前我追了她四年)说她要去北京时,我在毫无准备的情况下,带了2000块钱冲到北京,那会的北京还有点冷…但是我只是想打好前站,在她来的时候能提供一点帮助,在前两周里,每天面试两家公
第十四届兰州理工大学题目.rar
10-07
第十四届兰州理工大学题目.rar
信息安全 数据 铁人三项_信息安全铁人三项-事章程-信息安全铁人三项...
weixin_39697143的博客
12-19 1772
事章程竞总则为贯彻《国务院关于大力推进大众创业万众创新若干政策措施的意见》《国务院办公厅关于深化高等学创新创业教育改革的实施意见》,落实中央网信办、国家发改委、教育部等六部门《关于加强网络空间安全学科建设和人才培养的意见》、《教育部关于加强教育行业网络与信息安全工作的指导意见》。依托全国高企合作“双创”实战演练平台,为加强网络安全相关学科建设、人才培养和技术创新,中国信息安全测评中心联同...
【WUT/武汉理工】PTA-2021年春-MOOC-《C编程方法学》编程练习题解集
m0_58327726的博客
05-29 2万+
第1讲_printf()的简单使用 请按照如下方式输出诗歌: 输出格式: 第1行从第10列输出;第2行从第15列输出;其他行从第一列输出 输出样例:
关于Web前端安全之XSS攻击防御增强方法
最新发布
xyphf的博客
08-03 926
仅依赖前端验证是无法完全防止 XSS的,还需要增强后端验证,使用DOMPurify净化 HTML 时,还需要平衡安全性与业务需求。
Fabarta个人专属智能体限时体验中:高效、安全的长文写作新搭档
Fabarta的博客
08-01 409
此外,报告还提到了数据孤岛、数据质量不高的问题,这些都阻碍了企业的跨域协同,也降低了企业的数据向知识转化的效率。在保证用户的资料、文件与数据完全私密不泄露的情况下,该产品完美融合了用户本地数据与互联网上可以触达的公开信息,快速应答用户的各类请求与问题。1)王律师基于个人构建好的本地知识库,输入需求:“分析本案胜诉关键点,撰写金融借款合同纠纷证据规则实务指南,引用3个类案,字数2000左右”;5)智能体生成专业化内容,王律师可实时调整个别段落,对不满意的段落进行改写、润色,插入类案对比等;
金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
SmartX 超融合
07-31 756
业务隔离,灵活互访,安全管理,精简运维。
Web 安全之开放重定向攻击(Open Redirect )详解
路多辛的所思所想
08-03 953
摘要: 开放重定向漏洞存在于网站不安全处理用户可控URL时,攻击者通过构造恶意链接将用户从可信网站重定向至钓鱼或恶意网站。攻击流程包括诱骗用户点击、服务器执行重定向、最终实施窃取信息等攻击。防范措施包括避免直接使用用户输入URL、实施白名单验证、使用相对路径及重定向确认页面。该漏洞虽不直接破坏系统,但会显著提高钓鱼攻击成功率,需通过严格验证和定期安全审计加以防范。(149字)
企业微信「数据与智能专区」解析:如何实现敏感数据安全分析与价值挖掘?
WSYUNYAO的博客
07-30 594
目前,部分官方服务商的工具(如「微盛·会话管家」)已完成适配,其架构采用“专区内分析节点+外部展示节点”的分离设计,分析节点部署于沙箱,展示节点通过API获取脱敏结果,确保前端无敏感数据流转。「数据与智能专区」这类“安全+智能”的方案,通过技术闭环解决了“分析与安全”的矛盾,未来将成为企业微信生态中的刚需。不管是企业微信自带的工具,还是外面服务商做的工具,都得在里面工作。对企业而言,尽早布局这类方案,不仅能规避风险,更能抢占数据价值的先机——毕竟,在合规的前提下用好数据,才是企业长久发展的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值