打开靶机，根据提示是SQL注入 打开后看到登录窗口 方法一、手工注入 抓取数据包 开始SQL注入测试 利用万能密码，登录成功 查看回显位置 ...

攻防世界系列：web2 1.代码审计 知识补充： strrev(string):反转字符串 strlen(string):字符串长度 substr(string,start,length):截取字符（从第start位开始，取length个字符） ord(string ...

JSPFUCK??????答案格式CTF{**} http://123.206.87.240:8002/web5/ 字母大写 jspfuck这不是骂人吗，怎么回事啊？ ·点进去看见有一个可以输入的框，那就随便输入试一试哇 （在还是错别字 那看一看源代码叭，有一行非常奇怪 ...

题目链接：http://ctf.bugku.com/challenges#web3；http://123.206.87.240:8002/web3/ 解题步骤： 1.页面不断弹出弹框，选择阻止此页面创建更多对话框，查看页面源代码。 2.源代码中出 ...

web基础$_GET 打开网站后发现 根据这段话的意思是将what赋值为flag 在浏览器地址栏添加下 http://123.206.87.240:8002/get/?what=flag，发现flag ...

打开网页就看到一个假flag 没有其他信息，dirsearch脚本先跑一下， 发现有/.git/目录，很明显就是git泄露了。 网上有各种各样的git泄露利用工具，用gith ...

题目链接：http://ctf.bugku.com/challenges#web基础$_GET；http://123.206.87.240:8002/get/ 解题步骤： 1.本题为GET传参，直接在url后面加参数 读php代码 ...

题目链接：http://ctf.bugku.com/challenges#web基础$_POST；http://123.206.87.240:8002/post/ 解题步骤： 1.查看代码，通过post传入一个参数what ...