xss搞的很爽... complicated xss 题目描述：The flag is in http://admin.government.vip:8000 两个xss点。 1、http:// ...

周末放假忙里偷闲打了两场比赛，其中一场就是武汉科技大学的WUST-CTF新生赛，虽说是新生赛，题目质量还是相当不错的。最后有幸拿了总排第5，记录一下Web的题解。 checkin 进入题目询问题目作者昵称，在题面里可以看到是52HeRtz，但是发现题目输入框只能输入3个字符，并且按钮是灰色 ...

WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可。在CTF比赛中，代码注释、页面隐藏元素、超链接指向的其他页面、HTTP响应头部都可能隐藏flag或提示信息。在渗透测试中，开发者留下的多余注释和测试页面有时也能提供线索。 md5 ...

2020.09.18 完了完了，今天是不是做不完了……🥶 经验教训 re.search(pattern, string)可以找到字符串中匹配正则的某一段字符； eval() ...

签到题 这个直接加群就好了 Web2 打开这个页面，面对铺天盖地而来的滑稽，直接F12查看源代码 文件上传测试 虽然知道题目没那么简单，但是先上传一个PHP文件，看一下反应 点击上传后查看页面的返回情况 页面返回非图片文件 ...

平台地址：adworld.xctf.org.cn ...

要求a!=b,并且md5(a)==md5(b)才显示flag，考察了php特性 PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0， ...

The_myth_of_Aladdin 考点：SSTI、个别字符过滤、命令过滤 这题感觉是安洵杯2020那题SSTI的简化版，这里过滤的东西不是特别多，主要是过滤了空格卡了好久(没发现， ...