題目名稱：sqltest所屬：MISC考察點：盲注 眼力 耐心（好吧是廢話）

附件下載下來 芹枷，到手一個流量包，用wireshark打開莲趣，大致瀏覽了一下鸳慈，抓的應(yīng)該是盲注的數(shù)據(jù)流量。

這里有一個經(jīng)驗問題喧伞，一般的數(shù)據(jù)流量包走芋，這樣的雜項題绩郎，二話不說，直接導(dǎo)出翁逞，選擇導(dǎo)出http對象肋杖，save all。

導(dǎo)出后的截圖如下挖函。

不知道你們的是怎樣的状植，我的windows7，默認按“名稱”排列怨喘。

這是一個盲注津畸，我們現(xiàn)在要找的就是從這些這么多語句當(dāng)中找出盲注當(dāng)中True和False那一個臨界。這里使用的ascii必怜，我們要做的就是把那些按順序記下來肉拓。

打開這些文件分析，比較可得以下：

1.真值為true時候 文件內(nèi)容中 有“version” 這個關(guān)鍵詞棚赔。

2.真值為true時帝簇，文件大小為780字節(jié)徘郭。

這里也就有兩個思路靠益，一個是寫個腳本把包含version的文件挑出來，還有一個就是利用大小判斷残揉，進行篩選胧后。

這里我選擇后者，比較快抱环，讓文件按大小排列壳快，找到780字節(jié)的地方，然后找到是查看flag的盲注語句镇草。這里很巧的一點是按大小排列之后 還按了名稱順序排列眶痰，所以，直接照著順序記下來就可梯啤，可得如下結(jié)果竖伯。

后面圈起來的就是我們要的ascii的值。

題目名稱：包羅萬象所屬：web考察點：文件包含

這題比較簡單因宇，這提示得太明顯了七婴，“包羅萬象”，一個文件包含的題目察滑。

訪問靶場打厘，發(fā)現(xiàn)有個url是index.php?url=upload

進一步探索題目，發(fā)現(xiàn)存在flag.php贺辰，那就沒什么好說的了户盯。

換成嵌施，這直接訪問，并沒有什么先舷，轉(zhuǎn)一個彎艰管，加一個偽協(xié)議。

Base64解密蒋川，出flag牲芋。

給一個偽協(xié)議介紹傳送門：

http://blog.csdn.net/Ni9htMar3/article/details/69812306?locationNum=2&fps=1

感謝大佬。

題目名稱：我的博客所屬：web考察點：文件泄露 代碼審計 文件包含

看題捺球，如果不是太簡單的題的話缸浦，個人做題一般都是先分析一遍題目，看我們能得到哪些有用的信息氮兵，還要一個關(guān)鍵點就是搞明白flag在哪裂逐，我們要怎樣做才能出flag.

分析得到的信息如下：

1.Flag在/key/flag.php源碼里面

2.標(biāo)題：備份是個好習(xí)慣。

第二個是很明顯的一個提示泣栈，我們訪問blog/www.zip

就把源碼下載下來了卜高。

接下來就是代碼審計的問題了。

在post.php

圖中圈圈是我本地搭建添加的南片，看到參數(shù)的輸出掺涛，便與調(diào)試。

然后我們的目標(biāo)就是訪問flag.php了疼进。

可得結(jié)果如下：

查看源碼薪缆，看源碼。

題目名稱：login所屬：web考察點：文件泄露

這題打開是一個登錄界面伞广，如圖

嘗試輸入爆破均無效拣帽。實現(xiàn)想不出來了。

回到原題題干嚼锄，提示是用txt寫的减拭。

很明顯，這是提示編輯器啊区丑。txt會殘留的備份文件的后綴是.bak拧粪，

訪問check.php.bak。

去登錄刊苍，拿到flag.

題目名稱：留言板投訴所屬：web考察點：報錯注入既们，sqlmap

打開界面如圖所示：

各種嘗試無果，抓包分析

抓包改參數(shù)正什，在class這里發(fā)現(xiàn)了端倪啥纸，詳情如下。

開了gpc婴氮，普通的注入是無效的斯棒，想到了報錯注入盾致，大概是姿勢的問題。

卡了一會荣暮，直接上sqlmap庭惜。

題目名稱：新聞所屬：web考察點：盲注注入，sqlmap

手工測試了一波穗酥，發(fā)現(xiàn)是注入點是：

viewld.do?ldid=0||1

1處就是我們的盲注點护赊。

一般盲注題目都會有過濾，所以砾跃，我fuzz一下骏啰，發(fā)現(xiàn)過濾了如下關(guān)鍵字：

And,or,Select ,for ,from ,where等，但是這里比較簡單抽高，可以大小寫繞過判耕。解題的時候我用的是自己一個寫的可以復(fù)用型的腳本，這里我想用sqlmap跑一下翘骂。

這里用到的是sqlmap的tamper腳本：

randomcase.py隨機大小寫

我加了兩個腳本壁熄，

andreplace.py替換and為&&；orreplace.py替換or為||

參數(shù)截圖如下：

測試了一下碳竟，加了happyctf腳本草丧，強制把ORD換成oRd澜术，繞過or過濾。

這里給幾個sqlmap深入學(xué)習(xí)的傳送門：

用戶手冊：http://www.cnblogs.com/hongfei/p/3872156.html

進階使用：http://www.tuicool.com/articles/BFVbqe

Sqlmap前世今生part1：http://www.2cto.com/article/201509/442345.html

Slqmap繞過腳本整理：http://blog.csdn.net/whatday/article/details/54774043

工欲善其事必先利其器垂券，欲利器藻烤，必先知器。

感謝以上文章的大佬們常拓！

還有幾題沒搞清楚，后面更新

2017 7 10 更新

題目名稱：register 所屬：web 考察點：代碼審計

這題是真的沒想到，只能喊666