前几天才发现攻防世界这个平台，真是相见恨晚，正愁没地方检验自己大学四年学安全的学习成果，于是沉浸于寻找flag，大概一天一到两题的进度（解完两题就学别的去了，尽管如此也挺慢的了）在解题的同时也总结了安全的方方面面，各种工具和用法、各种漏洞的判断和利用.....最近终于磕磕绊绊做完了web的新手 ...

打开链接发现是一个笑脸，第一步F12查看网页源代码，发现source.php 访问一下，出现了源码 根据代码可以得出，如果参数file符合checkFile方法的检查规则，就会包含文件 ...

首先先查一下网页元素 发现，里面提示是有一个源码的，，，，在url后面加上/source.php(执行脚本语言被服务端执行并返回页面) 访问之后得到源码 <?php highlig ...

进入到题目的界面，看到以下源码 构造payload=?code=O:4:"xctf":1:{s:4:"flag";s:3:"111";} 结合题目以及大佬的wp可以知道 ...

CISCN final 打开页面 扫描目录 Robots.txt Config.txt 代码审计 还发现有sql.txt ...

目录 结束语 打开页面 查看页面后，常规操作~扫一下目录 发现几个目录可能有线索 robots.txt config.t ...

包发现页面是jsp写的 尝试读取配置文件web.xml Payload: http: ...

打开链接是一个上传文件的窗口，随便上传一个PDF文件提示必须上传图片，查看源代码，要求必须输入png或jpg格式文件才会上传成功，想到通过修改源代码删除上传限制条件，上传一句话木马，通过中国菜刀进入后 ...