PS:這是我很久以前寫的，大概是去年剛結束Hitcon2016時寫的。寫完之后就丟在硬盤里沒管了，最近翻出來才想起來寫過這個，索性發出來 0x0 前言 Hitcon個人感覺是高質量的比賽，相比國內的CTF，Hitcon的題目內容更新，往往會出現一些以前從未從題目中出現過的姿勢。同時觀察一些 ...

很有意思的一道題 訪問頁面之后是登錄界面 嘗試弱口令登錄一下，無果 查看源代碼之后也沒有什么提示，掃描敏感目錄，發現有源碼泄露。 這里我用御劍沒有掃出來源碼泄露，可能跟掃描線程太快了有關， ...

web: 1.web萌新福利 沒啥好說的，右鍵查看源碼得key 2.you are not admin 一看題目，就想到http頭修改，常見的x-forwarded-for,referer,h ...

步驟： nickname[]=wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherew ...

前言 不想復現的可以訪問榆林學院信息安全協會CTF訓練平台找到此題直接練手 HITCON 2016 WEB -babytrick（復現） 原題 index.php config.php 審計代碼邏輯 這個里的代碼將傳進來的值賦 ...

0x01 拿到題目第一件事是進行目錄掃描，看看都有哪些目錄，結果如下： 不少，首先有源碼，我們直接下載下來，因為有源碼去分析比什么都沒有更容易分析出漏洞所在。 通過這個知道，它一共有這么 ...

目錄 刷題記錄：[0CTF 2016]piapiapia 一、涉及知識點 1、數組繞過正則及相關 2、改變序列化字符串長度導致反序列化漏洞 二、解題方法 刷題記錄：[0CTF 2016 ...

偶然看到的比賽，我等渣渣跟風做兩題，剩下的題目工作太忙沒有時間繼續做。 第1題 sql注入： 題目知識 做題過程 第一步：注入Playload user=fla ...