xss搞的很爽... complicated xss 题目描述：The flag is in http://admin.government.vip:8000 两个xss点。 1、http:// ...

签到题 这个直接加群就好了 Web2 打开这个页面，面对铺天盖地而来的滑稽，直接F12查看源代码 文件上传测试 虽然知道题目没那么简单，但是先上传一个PHP文件，看一下反应 点击上传后查看页面的返回情况 页面返回非图片文件 ...

也是一个超高质量的题目，rpo获取网页信息，不过有一个非预期，nginx没有配置好，导致可以读取文件然后拿到flag。 如果对rpo攻击不熟悉的话，可以先看看这 RPO攻击 几个信息点 1、c ...

WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可。在CTF比赛中，代码注释、页面隐藏元素、超链接指向的其他页面、HTTP响应头部都可能隐藏flag或提示信息。在渗透测试中，开发者留下的多余注释和测试页面有时也能提供线索。 md5 ...

要求a!=b,并且md5(a)==md5(b)才显示flag，考察了php特性 PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0， ...

The_myth_of_Aladdin 考点：SSTI、个别字符过滤、命令过滤 这题感觉是安洵杯2020那题SSTI的简化版，这里过滤的东西不是特别多，主要是过滤了空格卡了好久(没发现， ...

明显的文件包含漏洞的格式网址，通过php://filter读取index源码-->php://filter/read=convert.base64-encode/resource=in ...

平台地址：adworld.xctf.org.cn ...