这几天写了南邮的web题目,都比较基础,可是对我这个小白来讲仍是收获蛮大的。能够借此总结一下web题的类型javascript
做为ctf题目,确定是要有些提示的,这些提示有时会在题目介绍里说有时也会隐藏在某些地方。php
若是第一次作ctf题目,不知道还有这些套路,通常不会往这个方面想。java
在打开某个连接时,会跳转向另外一个连接,而错太重要信息。mysql
这个也是经典题目了,经过判断ip,后者来源网址。能够总两个方面伪造web
这也是很基础的,主要有几个方面sql
好比:‘123abc’==123bash
'abc123'==0服务器
这两个都成立cookie
‘0e1234560’=='0e789456' 成立app
比较明显的是在MD5加密上,若是两个字符串加密后都以0e开头,再比较他们的MD5值就会认为相等
也就会认为两字符串相等。
好比:md5('240610708')==md5('QNKCDZO')
参考个人一篇博客 https://blog.csdn.net/zpy1998zpy/article/details/80545408
这个平台上没有特别在sql注入上难为同窗们,也是基本题型
仍是参考个人另外一篇博客 https://blog.csdn.net/zpy1998zpy/article/details/80517626
十六进制在于数字比较时,会被转化为10进制,但在字符串操做时仍是16进制形式。
这里的绕过就是传入 54975581388的16进制表示,就可经过对每一位ascii码的检查。
解码:在线解码 https://tool.zcmzcm.org/aadecode
有个小问题,若是网页直接打开为乱码,就右键另存为,保存到本地用记事本打开,再去解码就好了。
在线解码 http://www.jsfuck.com/
好比:直接访问 http://站点/ .index.php.swp 能够看到提示内容
这是php反序列化那题生成playload的代码
<?php class just4fun { var $enter; var $secret; } $o = new just4fun(); $o->enter = &$o->secret; echo serialize($o); ?>
若是会调用函数,就能够操做序列化和反序列化,全部重点仍是对题目服务器代码的绕过技巧。
转载指明出处