标签:web安全

7 篇文章

thumbnail
简析GXY_CTF “Do you know Robots?”PHP反序列化
Auther: 颖奇L’Amore(比赛平台id: Y1ng) Blog: www.gem-love.com 很普通的一道反序列化题。关于PHP反序列化可以参考一下前段时间的一篇文章: https://www.gem-love.com/websecurity/18.html 如果想了解Phar反序列化可以参考今天中午刚写的文章: https://w…
thumbnail
简析GXY_CTF “禁止套娃”无参数RCE
Author:颖奇L’Amore (比赛平台id:Y1ng) blog: https://www.gem-love.com 所谓无参数RCE,就是只允许执行a(), a(b())这样的函数,而不允许带参数,比如echo("aa")是禁止的 关于无参数RCE,推荐一篇sky师傅的文章: https://skysec.top/2019/03/29/PH…
thumbnail
简析GXY_CTF “Ping Ping Ping”命令执行
Author:颖奇L'Amore (比赛平台id:Y1ng) blog: https://www.gem-love.com 主页:http://y1ng.net 题目比较简单,考点就是命令执行及一些绕过姿势。 命令联合执行 两条linux shell命令一起执行,中间的分隔符一般有以下几种 ; && ||  %0a  %0d  | …
thumbnail
简析GXY_CTF “BabySqli v3.0”之Phar反序列化
Author:颖奇L’Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 这个题目因为出题人多打了个空格,出现了一个非常easy的非预期,我是用非预期做的,非常非常非常的搞笑。 这题目本意是考phar反序列化,关于phar反序列化可以参考以下文章: https://xz.aliyun.com/t/2…
thumbnail
简析GXY_CTF “BabySqli v2.0”宽字节注入
Author:颖奇L’Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 关于宽字节注入的原理推荐看看这个文章:https://blog.csdn.net/WhiteLamp/article/details/78744872 分析题目 打开题目,可以看到 “我对网站进行了加固,还支持了中文账号,这下…
thumbnail
简析GXY_CTF “BabySqli v1.0″绕过md5比较
Author:颖奇L'Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 这是一道md5比较bypass的题,和大家行间的那种“or 1=1的万能密码”原理不同,而题目又说了“我才知道万能口令这么危险” 小心不要被我们刻板印象中的万能密码带偏了方向。 先简单介绍一下传统的我们熟知的万能密码的注入基本…