Author:颖奇L'Amore Blog:www.gem-love.com 近日在参加🇺🇸ångstromCTF 2020时做了一个比较好的Node.js的题目 名称:A Peculiar Query 链接:https://peculiarquery.2020.chall.actf.co/ 考点:Node.js代码审计、类型混淆污染、SQLi 难…
Author:颖奇L'Amore Blog:www.gem-love.com 比赛地址:https://2020.angstromctf.com/ WEB The Magic Word 考点:inspect element 打开之后是个单页面,查看元素发现如下代码: var msg = document.getElementById("magic"…
Author: 颖奇L'Amore Blog: www.gem-love.com WEB UNIVERSAL_SQL(100points) 题目的网页源代码可以看到index.txt 打开后得到sql语句: $username = $_POST[username]; $passwd = md5($_POST[passwd]); $sql = "se…
Author:颖奇L’Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 关于宽字节注入的原理推荐看看这个文章:https://blog.csdn.net/WhiteLamp/article/details/78744872 分析题目 打开题目,可以看到 “我对网站进行了加固,还支持了中文账号,这下…
Author:颖奇L'Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 这是一道md5比较bypass的题,和大家行间的那种“or 1=1的万能密码”原理不同,而题目又说了“我才知道万能口令这么危险” 小心不要被我们刻板印象中的万能密码带偏了方向。 先简单介绍一下传统的我们熟知的万能密码的注入基本…