之前0ctf的时候出的rand题,感觉原理懂了,没有实际操作。
结果昨天湘湖杯遇到了,发现没有想象的那么简单。
http://114.215.220.241/www.rar
可以下到源码,看了下,发现数据库是utf-8的,而且入库的时候都用转义过了。
应该不存在注入的可能。
之前0ctf的时候出的rand题,感觉原理懂了,没有实际操作。
结果昨天湘湖杯遇到了,发现没有想象的那么简单。
http://114.215.220.241/www.rar
可以下到源码,看了下,发现数据库是utf-8的,而且入库的时候都用转义过了。
应该不存在注入的可能。
这是一道ruby题... bkp真会玩,web只有rb和py
题目首页只有一句话 浏览/flag 和/source
妹的 我当然浏览/flag 然后...
2333 进入正题 看源码 不要怕 每一行我都在后面解释了~
题目给了一个网站链接和源码
网站就是一个问卷调查 问你name,quest,和喜欢的颜色 然后返回查询结果
不过结果被页面的js处理了一下 只有一个数字
可以用chrome的一个websocket应用直接看原来的返回
先看看源码吧