前幾天才發現攻防世界這個平台，真是相見恨晚，正愁沒地方檢驗自己大學四年學安全的學習成果，於是沉浸於尋找flag，大概一天一到兩題的進度（解完兩題就學別的去了，盡管如此也挺慢的了）在解題的同時也總結了安全的方方面面，各種工具和用法、各種漏洞的判斷和利用.....最近終於磕磕絆絆做完了web的新手 ...

打開鏈接發現是一個笑臉，第一步F12查看網頁源代碼，發現source.php 訪問一下，出現了源碼 根據代碼可以得出，如果參數file符合checkFile方法的檢查規則，就會包含文件 ...

首先先查一下網頁元素 發現，里面提示是有一個源碼的，，，，在url后面加上/source.php(執行腳本語言被服務端執行並返回頁面) 訪問之后得到源碼 <?php highlig ...

進入到題目的界面，看到以下源碼 構造payload=?code=O:4:"xctf":1:{s:4:"flag";s:3:"111";} 結合題目以及大佬的wp可以知道 ...

CISCN final 打開頁面 掃描目錄 Robots.txt Config.txt 代碼審計 還發現有sql.txt ...

目錄 結束語 打開頁面 查看頁面后，常規操作~掃一下目錄 發現幾個目錄可能有線索 robots.txt config.t ...

包發現頁面是jsp寫的 嘗試讀取配置文件web.xml Payload: http: ...

打開鏈接是一個上傳文件的窗口，隨便上傳一個PDF文件提示必須上傳圖片，查看源代碼，要求必須輸入png或jpg格式文件才會上傳成功，想到通過修改源代碼刪除上傳限制條件，上傳一句話木馬，通過中國菜刀進入后 ...