每天上去签到然后顺便做一道 CVE-2022-32991 Web Based Quiz System SQL注入 一把梭就行了 sqlmap -u 'http://eci-2ze05gfvp4qck2p94abx.cloudeci1.ichunqiu.com/welcome.php?q=quiz&step=2&eid=60377db…

仅供个人知识点记录 Web 赛事题 吃瓜杯 热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(p…

NSS平台 [SWPUCTF 2021 新生赛]re1 直接f5反编译 int __cdecl main(int argc, const char **argv, const char **envp) { char Str2[1008]; // [rsp+20h] [rbp-60h] BYREF char Str1[…

看这个url敏锐点的人立刻就意识到可以改成register，或许就能注册了，事实也确实是如此 注册个123，123然后登录 然后可以发现这里有个上传和下载功能，但只能上传图片文件，选择查看的时候可以发现这里的url形式是?id=啥啥啥，还是一句话，敏锐点的人肯定会开始测试sql了 然后在测试这个收藏的时候发现是个下载文件的功能，并且测试这个功能的时…

HITCON babyfirst三部曲第一部QQ <?php highlight_file(__FILE__); $dir = 'sandbox/' . $_SERVER['REMOTE_ADDR']; if ( !file_exists($dir) ) mkdir($dir); echo $dir."\n"; chdir($dir)…

前言 上周和水子哥相约去沉淀，然后打了这场国外的比赛，里面有很多OSINT相关的题目，其中有一道就是这个NMPZ，考的是给你一张谷歌街景图让你判断图片拍摄地，当时研究了很久也只找了大概一半，赛后看了其他大师傅的现在来复现下。 题目描述 题目描述就是一句话： Are you as good as Rainbolt at GeoGuessr? Prov…

感觉ctf打太多了，pentest经验太少了，从Vulnhub上找个靶机玩玩，说起来这个靶机很久之前我还玩儿过，大一SRE寒假考核里那个pentest就是拿这个改的。 Me-and-My-Girlfriend：下载链接 前期准备 下载到了那个ova文件打开方式用vmware打开 命名，选择路径 选了导入之后有弹窗，选择不再显示此消息然后重试，别管他…

本来是今天刷题的时候看到有道[WMCTF2020]Web Check in，分值还蛮高的，但做的时候怎么做都做不出来，然后看到有个[WMCTF2020]Web Check in 2.0，发现这道题才1分，感觉很神奇，2.0不应该是1.0的改进版吗，为什么2.0反而做出来的人多一点，于是就决定先来看下这个2.0，然后发现了一件有意思的事，是什么有意思…

打这个比赛主要是为了混奖，结果报名截止那天晚上我在我们大二小团体里喊了一晚上都没人来（结果这些逼去偷偷报其他取证比赛了，我让他们报他们不报👍👍），只有一个re的师傅和我去组队，结果那个re的师傅周六早上有课，导致这个三人团体赛最好只有我一个人去打，不过最后还是拿了个三等奖，可惜，当时做仔细点不把那个多选题看成单选题肯定就二等了。 检材一 请计算检材…

web前置技能 HTTP协议 请求方式 题目描述：HTTP 请求方法, HTTP/1.1协议中共定义了八种方法（也叫动作）来以不同方式操作指定的资源。 进入主页，题目上的意思可能是让我们用CTFHUB的方法访问该网页，用curl -X CTFHUB或者burpsuite改方法都可以 302跳转 题目描述：HTTP临时重定向 题目里说flag不在这里…