xss搞的很爽... complicated xss 題目描述:The flag is in http://admin.government.vip:8000 兩個xss點。 1、http:// ...
周末放假忙里偷閑打了兩場比賽,其中一場就是武漢科技大學的WUST CTF新生賽,雖說是新生賽,題目質量還是相當不錯的。最后有幸拿了總排第 ,記錄一下Web的題解。 checkin 進入題目詢問題目作者昵稱,在題面里可以看到是 HeRtz,但是發現題目輸入框只能輸入 個字符,並且按鈕是灰色的 直接F 審查元素去掉maxlength以及disable兩個屬性,輸入作者昵稱即可 彈出作者的博客地址,跟進 ...
2020-03-31 22:04 0 959 推薦指數:
xss搞的很爽... complicated xss 題目描述:The flag is in http://admin.government.vip:8000 兩個xss點。 1、http:// ...
簽到題 這個直接加群就好了 Web2 打開這個頁面,面對鋪天蓋地而來的滑稽,直接F12查看源代碼 文件上傳測試 雖然知道題目沒那么簡單,但是先上傳一個PHP文件,看一下反應 點擊上傳后查看頁面的返回情況 頁面返回非圖片文件 ...
也是一個超高質量的題目,rpo獲取網頁信息,不過有一個非預期,nginx沒有配置好,導致可以讀取文件然后拿到flag。 如果對rpo攻擊不熟悉的話,可以先看看這 RPO攻擊 幾個信息點 1、c ...
WEB 簽到題 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右鍵查看源代碼即可。在CTF比賽中,代碼注釋、頁面隱藏元素、超鏈接指向的其他頁面、HTTP響應頭部都可能隱藏flag或提示信息。在滲透測試中,開發者留下的多余注釋和測試頁面有時也能提供線索。 md5 ...
要求a!=b,並且md5(a)==md5(b)才顯示flag,考察了php特性 PHP在處理哈希字符串時,會利用”!=”或”==”來對哈希值進行比較,它把每一個以”0E”開頭的哈希值都解釋為0, ...
The_myth_of_Aladdin 考點:SSTI、個別字符過濾、命令過濾 這題感覺是安洵杯2020那題SSTI的簡化版,這里過濾的東西不是特別多,主要是過濾了空格卡了好久(沒發現, ...
明顯的文件包含漏洞的格式網址,通過php://filter讀取index源碼-->php://filter/read=convert.base64-encode/resource=in ...
平台地址:adworld.xctf.org.cn ...