[SUCTF 2019]EasySQL

题目链接：https://buuoj.cn/challenges#[强网杯2019]随便注打开环境后，如下所示。通过输入'，确认该处是由单引号闭合。通过输入Payload：'unionselect1;#，可以发现后端对一些关键词进行了过滤。尝试堆叠注入，可以查询到数据库名以及当前使用的数据库中存在的表名。Payload：'%......

题目链接：https://buuoj.cn/challenges#[极客大挑战2019]LoveSQL。打开环境后，如下所示。尝试SQL注入（万能密码）。Payload：admin'+or+1%3d1%3b%23。（笔者通过简单粗暴的尝试：①没有使用单引号；②使用单引号；③使用双引号，来确定后端拼接的SQL语句中的password参数系使用单引号......

题目链接：https://buuoj.cn/challenges#[极客大挑战2019]SecretFile。打开环境后如下所示。通过BurpSuite抓包后，发现页面源代码如下。<!DOCTYPEhtml><html><styletype="text/css">#master{position:absolute;left:44%;bottom:0;text-align:c......

题目链接：https://buuoj.cn/challenges#[极客大挑战2019]Http。访问环境如下。该页面的响应包如下。HTTP/1.1200OKDate:Wed,23Oct202416:21:45GMTServer:Apache/2.2.15(CentOS)X-Powered-By:PHP/5.3.3Content-Length:4065Connection:closeContent-Type:te......

题目链接：https://buuoj.cn/challenges#[极客大挑战2019]Upload。打开环境，如下所示。通过页面源代码可以发现，该网站系PHP架构，因此尝试直接上传一句话木马。发现提示"NOT！php!"，因此尝试fuzzing一下后缀名。发现网站可以通过了"phtml"的后缀名，但是提示文件内容存在字符......

可以在不同的网络环境和不同的计算机上在线安装微软VisualStudio2019。微软提供的在线安装工具（VisualStudiowebinstaller）可以让用户在线下载最新版本VisualStudio安装包、补丁程序等。但是在许多场景中，用户并不能连接到互联网，或者由于防火墙的安全策略导致用户不能连接微软......

数据文档数据介绍数据名称：地级市-计算恩格尔系数数据年份：2001-2019年数据范围：全国297个城市数据来源：地方统计局指标说明行政区划代码人均消费支出-农村-食品地区名称人均消费支出-城镇年份人均消费支出-城镇-食品人均消费支出人均消费支出-食品人均消费支出-......

题目链接：https://buuoj.cn/challenges#[GXYCTF2019]PingPingPing打开环境后如下所示。题目直接提示了有一个GET参数，参数名是"ip"，尝试输入：?ip=127.0.0.1后，结果如下所示。可以看到，网站后端进行了一个ping操作，猜测参数：ip可能存在命令注入漏洞。尝试输入：ip=;id，发现可以......

链接：https://buuoj.cn/challenges#[极客大挑战2019]Havefun打开环境后如下所示。在BurpSuite中（或直接CTRL+U）查看源代码后，可以发现存在如下代码。$cat=$_GET['cat'];echo$cat;if($cat=='dog'){echo'Syc{cat_cat_cat_cat}';}尝试输入Payload：?cat=dog后即可......

题目链接：https://buuoj.cn/challenges#[极客大挑战2019]EasySQL。打开后，页面如下所示：可以看到，只有一个登录框，没有其他的内容，一般这种情况，应当先考虑SQL注入。在密码框中直接插入万能密码：'or1=1;#。成功获取flag。知其然，知其所以然。一些常见的登陆功能的后端实现......