[HCTF 2018]热身 首先点击打开靶机，发现只有一个表情包。 然后便查看此网页的源代码，发现存在着一个source.php。之后打开是一大串Php代码，好，开始审计代码。 <?p ...

从这道题学到了挺多 一打开题目就是登陆页面，遂扫描文件检测是否存在文件泄露 用dirsearch扫出了robots.txt,.DS_Store和其他php。DS_Store没有可 ...

本来一题一篇文章，结果发现太浪费了，所以整合起来了，这篇博文就记录 BUUCTF 的 web 题目的题解吧！ 随便注 随便输入一个单引号，报错 order by 3就不行了 尝试联合查询的时候出现提示： 一个正则可视化网站：https ...

正如本题所说，脑洞有点大。考点还很多，不过最核心的还是python的pickle反序列化漏洞 题目中暗示了要6级号，找了很多页都没看到，于是写了脚本 在第180页有6级号，但是价格出奇的高，明 ...

题目提示cookie，抓包并添加 得到 看到有username，重新构造 重放可得flag ...

打开网页，然后发现menu中有个buyflag的连接，点进去 如果你想买这个flag ，你必须是来自CUIT的一名学生，还必须回答正确的密码。简单了解，我们查看源码，发现思路 ...

BUUCTF-WEB-[极客大挑战 2019]EasySQL 1 1. 打开网址是一个简单的登陆界面 2. 简单的打量一番，这里使用万能密码即可进行注入即可得到flag 3. 简单的了解万能密码 原理：SQL语句sql="select * from user ...

打开靶机，有2个按钮 点击按钮，url会发生变化 尝试利用php://filter伪协议获取index.php源码 php://filter/read=convert.base64-encod ...