xss搞的很爽... complicated xss 題目描述：The flag is in http://admin.government.vip:8000 兩個xss點。 1、http:// ...

周末放假忙里偷閑打了兩場比賽，其中一場就是武漢科技大學的WUST-CTF新生賽，雖說是新生賽，題目質量還是相當不錯的。最后有幸拿了總排第5，記錄一下Web的題解。 checkin 進入題目詢問題目作者昵稱，在題面里可以看到是52HeRtz，但是發現題目輸入框只能輸入3個字符，並且按鈕是灰色 ...

WEB 簽到題 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右鍵查看源代碼即可。在CTF比賽中，代碼注釋、頁面隱藏元素、超鏈接指向的其他頁面、HTTP響應頭部都可能隱藏flag或提示信息。在滲透測試中，開發者留下的多余注釋和測試頁面有時也能提供線索。 md5 ...

2020.09.18 完了完了，今天是不是做不完了……🥶 經驗教訓 re.search(pattern, string)可以找到字符串中匹配正則的某一段字符； eval() ...

簽到題 這個直接加群就好了 Web2 打開這個頁面，面對鋪天蓋地而來的滑稽，直接F12查看源代碼 文件上傳測試 雖然知道題目沒那么簡單，但是先上傳一個PHP文件，看一下反應 點擊上傳后查看頁面的返回情況 頁面返回非圖片文件 ...

平台地址：adworld.xctf.org.cn ...

要求a!=b,並且md5(a)==md5(b)才顯示flag，考察了php特性 PHP在處理哈希字符串時，會利用”!=”或”==”來對哈希值進行比較，它把每一個以”0E”開頭的哈希值都解釋為0， ...

The_myth_of_Aladdin 考點：SSTI、個別字符過濾、命令過濾 這題感覺是安洵杯2020那題SSTI的簡化版，這里過濾的東西不是特別多，主要是過濾了空格卡了好久(沒發現， ...