BUUCTF平台 web writeup 第二弹

第一弹:http://eustiar.tk/archives/413
本来应该是都写在那一篇里的,想了想这样显得我像是咸了很久,就新开了一篇来欺骗自己"我很勤奋"

1.Point System

靶机:http://web48.buuoj.cn/
这个题是今年半决赛东北赛区的一道题
之前我已经写过了,详情见这里

2.admin

靶机:http://web37.buuoj.cn

进去之后一篇空荡荡的,有注册和登录功能,注册一个账号,登陆进去

可以写posts,改密码
但是经过尝试发现写posts并没有什么用,写完并没有存储下来或者发送到哪
尝试登录是否存在注入,加单引号'后发现报错


这是处于debug模式下,注意每一项右边的第一个按钮可以调出python交互窗口,经过测试发现可以通过交互式命令行执行python语句

emmm,这是python2,改用commands库
直接grep爆搜找到flag,在index.html模板里。。

打赏作者

发表评论

电子邮件地址不会被公开。 必填项已用*标注