2022年中国工业互联网安全大赛江苏选拔赛
比赛心得,竞赛组织的奇烂无比,理论竞赛环境崩了四次,一个python环境修到了竞赛结束的半个小时,更有甚队伍,竞赛在环境flag不对的情况下,成果提交得分,简直牛逼plus。pwn题不提供附件,re提供错误附件。这竞赛出题能力也是超绝。最主要用的题目全是TM网上的原题2222223
第三届电信互联网行业线上预选赛
WEB
题目二名称:EzPop
利用a::__destruct链头开始触发反序列化,然后触发b::__tostring,然后调用c::__call,利用call_user_func_array去调用eval类getshell。
2022第五空间线上决赛
easysqli
过滤 空格、information、 and等字符
通过尝试构造发现是个字符型注入,构造payload:?id=0'/**/or/**/'1发现可行
通过构造库名、表名、payload,编写自动化注入脚本如下:
