根据rar的提示加上后缀 打不开卡住了，那就用winhex看看是不是还要改后缀 确实应该要改成压缩包，那就改 还是没什么思路，东西又很乱很杂看不懂后缀 那就一个一个找 终于在\D ...

题目提示软盘，在网上搜索到这是虚拟机辅助的 设置后打开文件看到flag flag{ctfshow} 软盘： 最早的可移动介质，后来逐渐被u盘取代，现在不怎么有了好像是不划算 ...

ctfshow misc 图片基础篇 以下题目均来自ctfshow，本鸟人才瘾大，若有错误，望大佬们指出 misc 1 下载下来得到一张图片，图片内容就是flag。 misc 2 下载解压后得到的是一个misc2.txt，记住misc体不要相信题目所给附件的后缀，直接使用记事本打开 ...

先把过滤的语句列出来（不区分大小写）： 这里被过滤的也要学习一下，因为有些也是可以拿来读取文件的命令 查看目录文件的命令还能用，分号被过滤，这里有点像sql注入，替换成 ...

web6(union联合注入) 1、用bp　fuzz，过滤了空格，用/**/绕过 2、union联合查询 判断列数： 'union/**/select/**/1,2,3# 奇怪，order ...

WEB2-SQL注入 题目提示是简单的SQL注入，于是尝试输入点中使用万能密码：admin'or 1=1#（CTF中SQL万能密码集合）发现成功执行,于是 order by查找回显数 username=ctfshow' order by 3 #&password=1 在3时正常回显 ...

打开靶机，根据提示是SQL注入 打开后看到登录窗口 方法一、手工注入 抓取数据包 开始SQL注入测试 利用万能密码，登录成功 查看回显位置 ...

打开靶机 发现是SQL注入，盲注 过滤了空格符，可以用/**/绕过，抓包 直接上脚本 附上群内羽师傅的脚本 跑 ...