-
SQL注入汇总
文件上传漏洞是指在执行sql语句时,未对用户输入的参数没有经过严格的过滤处理,通过构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。 sql注入分类按照查询类型 => 字符型,数字型 字符型即为输入是字符串,数字型即为整型 按照注入方式分类 union联合注入 报错注入 布尔注入 时间盲注 判断为数字型还是字符型 用id=1 and... -
RCE大汇总
首先从最基础的linux命令cat /flag开始 文件名被过滤怎么绕过*通配符文件在Linux中f*可以代表所有f开头的文件,所以我们可以用cat /f*获得flag ?匹配文件名比如我们知道flag的名字就是flag,但是可能flag这个字符串被过滤了,我们就可以用?匹配被ban的字符,用cat /f???获得flag 当然,前面不加这个f可以吗如/????... -
LitCTF-2025
web-星愿信箱ssti,过滤了{{}},使用{%%} payload 123456{%set x=config.update(g="__globals__")%}{%set x=config.update(c=config.update)%}{%set x=c...
1