基础题
1、你能登录吗?
进入界面,尝试万能密码登录('or 1=1#成功,‘or 1=1–+失败不明白)
成功,得到flag
2、easy
一道简单的SSRF
根据提示找到正确的输入框输入file:///flag即可
可以一个个尝试,也可以打开网页源代码观察返回并输入,得到flag
3、在线ping测试
没什么意思
简单的命令执行,使用管道符拼接命令
127.0.0.1|cat /flag.txt
4、sql injection is very easy
进去网站,提示这是一道数字型的sql题
常规方法发现可以单引号注入
order by 查看列数 人后查库查表
得到flag
5、easybypass
打开网站,什么都没有,查看源代码
发现提示,访问de.php,得到后端代码代码审计构建payload(没弄明白)
得到flag
6、你能绕过去吗?
1、打开题目是一个新闻界面
2、一开始以为注入点在登陆界面,尝试万能密码和和各种闭合,失败,然后发现热点点击无反应,测试新闻123也什么都没有
3、F12寻找隐藏的url4,这就发现又是熟悉的sql了,于是常规流程order by 查库 查表 查列,得到用户名和密码
5、登录得到flag