前言 ：练习题目，康复训练 原谅4 <?php isset($_GET['xbx'])?system($_GET['xbx']):highlight_file(__FILE__); 题目给了这一段代码，但是经过测试，只有ls、rm、sh这三个命令能用 flag在根目录，没有直接读取文件的命令 但是这个sh命令是可以执行文件中的…

前言 本校的极客大挑战还是要参加的，去年就很遗憾，今年得好好打一下，这次我会把能写的全写在博客里，同时也会学习一下其他的方向 组队的队友是外校大三的网工学长，很强的选手！ 题目没有分week，这里我就分类，按照时间题目发布时间/做出来的顺序来写了 以校外赛道21名的成绩结束比赛，学到了很多东西！ WEB EzHttp http签到，点击就送flag…

WEEK1 signin 进去只有一个页面 源代码里没有东西，扫描后台也没有东西 放进火狐浏览器，F12进入调试器 在源码里发现flag baby_php 源码如下 <?php // flag in flag.php highlight_file(__FILE__); if (isset($_GET['a']) && …

前言 写完week1感觉还是比较简单的，很基础 也是放假在家不想打游戏，拿这个消磨一下时间 WEEK1 babyRCE 题目源码 <?php $rce = $_GET['rce']; if (isset($rce)) { if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vi…

Week1 泄漏的秘密 hint：粗心的网站管理员总会泄漏一些敏感信息在Web根目录下 访问该网站目录下的robots.txt可以找到第一部分的flag 扫描一下后台，发现www.zip备份文件，将其下载下来，在index.php中发现第二部分flag Begin of Upload hint：普通的上传啦，平平淡淡才是真 在网页源代码里发现前端检…

前言 好久没玩CTF了，玩玩MoeCTF，就当是温故知新 西电的这个终端看起来好高级的样子 之前还没用过这种，长见识了 WEB Web入门指北 DESCRIPTION: 解码获取flag 在MoeCTF2023群里有个指北文件 题目要解码文件里的东西 那就来看看 在文件的末尾有一段字符串 浅浅看了一下，应该是一个十六进制的字符串 拿去cyberch…

日常练习题 题目来源：ctf.show 月饼杯 Web1_此月圆 题目附件中有的index.php <?php class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $…

week1 2048 一个2048小游戏，先看看源码 在源码中看到游戏的js文件 找找看有没有flag 找到这一段代码 原来要超过20000分才弹出flag，这里直接把代码放到控制台运行，弹出flag Interesting_include 文件包含,没什么难度 payload: ?filter=php://filter/convert.base6…

军训的时候打着玩，还是比较简单的