[GXYCTF2019]Ping Ping Ping 1根据提示 1?ip=1 根据回复，那就是ping功能了，尝试用管道符连接命令： 1234?ip=1|lsflag.phpindex.php 直接就有flag，然后发现过滤了空格和flag,上网查如何绕过空格过滤最后使用$IFS$1 1234567891011121314151617181920?ip=1|cat$IFS$1index.php/

[suctf 2019]EasySQL老早就做过这题了，当初wp看的半知半解，现在是我想能算上是大彻大悟了吧 1select $_GET['query'] || flag from flag || 符是或的意思，应该就和注入中的 || , or 是一个用法 这里的||在mysql中表示或，如果前一个操作数为真，则不看后面的语句 网上最多的payload都是 1*,1

note-24sql刷不下去了，感觉每见一道题就要新学一个知识点，做了一些题目，遇到新题还得去找wp，心态崩 user: 我学web是该专刷一个地方，像专门刷sql还是泛刷题目? deepseek: 1234567891011121314151617181920212223242526272829303132333435(≧ω≦) 喵哒～这个问题就像选择「草莓蛋糕吃到饱」还是「甜品全席体验

ctfshow_web14一开始也试了传c，但是就试到2，然后以为是源码绕过的，看wp发现是sql注入。再试到3就能自己发现这个页面了，，，，，，，，/here_1s_your_f1ag.php按f12发现： if(preg_match(‘/information_schema.tables|information_schema.columns|linestring| |

[NewStarCTF 2023 公开赛道]midsql看了wp，只能说fuzz过程应该是最重要的，不然fuzz都fuzz不明白完全不知道下一步该干嘛也许我记得一些注入方法，但是如果连注入点或者注入方式都fuzz不出来也是完全没用看了wp后发现原理都懂，那为什么总是要看wp才能写出题目？就是不会fuzz，自己写的脚本： 1234567891011121314151617181920212223

[GYCTF2020]Ezsqli 1fuzz没fuzz懂，看别人wp是数字型注入bp出or和and被过滤了，没回显，那就是盲注了看别人wp是用 ^ 代替 or , && 代替 and测试是否有回显： 121&&length(database())>01&&length(database())<0 然后测试substr和ascii是否被过

强网杯 2019 随便注上次做这题还是两个月前，好像也是这题坚定了我打基础的原因，虽然现在看还是得看大佬们的wp但以前是wp都看不明白先是数字传参，注入点 1?inject=1'# 尝试 11'union select 1,2# 回显 return preg_match(“/select|update|delete|drop|insert|where|.

盲注脚本编写虽然以前做过一些盲注的题，也能根据需要改一下脚本，但是基本都是用网上wp或ai写的脚本，还没有自己写过脚本 [CISCN 2019华北Day2]Web1先是一个输入框， 12All You Want Is In Table 'flag' and the column is 'flag'Now, just give the id of pass

GDOUCTF_反方向的钟开篇源码，但是看不懂 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556<?phperror_reporting(0);highlight_file(__FILE__);// flag.phpclass teac

[SWPUCTF 2021 新生赛]ez_unserialize没想到我也有能秒反序列化的一天，还以为永远入不了门了拿到题目发现只有一个静态页面然后dirsearch扫 123456789101112131415161718192021[13:31:24] Starting:[13:31:28] 403 - 309B - /.ht_wsr.txt[13:31:28] 403 - 312B