PS:这是我很久以前写的，大概是去年刚结束Hitcon2016时写的。写完之后就丢在硬盘里没管了，最近翻出来才想起来写过这个，索性发出来 0x0 前言 Hitcon个人感觉是高质量的比赛，相比国内的CTF，Hitcon的题目内容更新，往往会出现一些以前从未从题目中出现过的姿势。同时观察一些 ...

很有意思的一道题 访问页面之后是登录界面 尝试弱口令登录一下，无果 查看源代码之后也没有什么提示，扫描敏感目录，发现有源码泄露。 这里我用御剑没有扫出来源码泄露，可能跟扫描线程太快了有关， ...

web: 1.web萌新福利 没啥好说的，右键查看源码得key 2.you are not admin 一看题目，就想到http头修改，常见的x-forwarded-for,referer,h ...

步骤： nickname[]=wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherew ...

前言 不想复现的可以访问榆林学院信息安全协会CTF训练平台找到此题直接练手 HITCON 2016 WEB -babytrick（复现） 原题 index.php config.php 审计代码逻辑 这个里的代码将传进来的值赋 ...

0x01 拿到题目第一件事是进行目录扫描，看看都有哪些目录，结果如下： 不少，首先有源码，我们直接下载下来，因为有源码去分析比什么都没有更容易分析出漏洞所在。 通过这个知道，它一共有这么 ...

目录 刷题记录：[0CTF 2016]piapiapia 一、涉及知识点 1、数组绕过正则及相关 2、改变序列化字符串长度导致反序列化漏洞 二、解题方法 刷题记录：[0CTF 2016 ...

偶然看到的比赛，我等渣渣跟风做两题，剩下的题目工作太忙没有时间继续做。 第1题 sql注入： 题目知识 做题过程 第一步：注入Playload user=fla ...