基础知识类题目 考察基本的查看网页源代码、HTTP请求、修改页面元素等。 这些题很简单，比较难的比赛应该不会单独出，就算有因该也是Web的签到题。 实际做题的时候基本都是和其他更复杂的知识结合起来出现。 姿势：恶补基础知识就行 查看网页源代码 按F12就都看到了，flag一般都在 ...

题目如下。解题步骤参考的是https://cloud.tencent.com/developer/news/373865中作者的思路。 1.首先，两个四位数相加等于一个五位数，那么这个五位数的第一位必定是1，也就是“三”=1,。 2.继续分析“祥”+“三”，若是“祥 ...

看起来有点难 提交admin http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login 用sqlmap检测是否有注入 ...

这道题目我弄了好久，最后问了朋友，然后在朋友的帮助下，将flag找到了 这里写一下解题方法，记录一下 一进到这道题，看到了php?id=1，就很熟悉，很有可能是一道sql注入的题目，肯定是要试一下最简单的测试，（哪怕知道不可能是什么都没有过滤） 单引号出错 多加一个%23，发现不出 ...

实验吧第二题 who are you? 很有意思，过两天好好分析写一下。简单的SQL注入之3也很有意思，适合做手工练习，详细分析见下。 http://ctf5.shiyanbar.com/web/index_3.php 随便输入111' 便报错，由报错内容可知较多信息 ...

题目链接：http://ctf5.shiyanbar.com/423/web/ 简单的SQL注入之1，比2，3都简单一些。利用2 的查询语句也可以实现：1'/**/union/**/select/**/flag/**/from/**/web1.flag/**/where ...

直接输入11'报语法错误，然后输入1' and '1'='1 报SQLi detected!，说明有防护，输入1'and'1'='1回显ID: 1'and'1'='1 name: balote ...

CTF学习-web题思路 持续更新 基础篇 1.直接查看源代码 2.修改或添加HTTP请求头 常见的有： Referer来源伪造 X-Forwarded-For：ip伪造 User-Agent：用户代理（就是用什么浏览器什么的） //.net的版本修改，后面 ...