鹏城杯好难,累死累活一天也只写出一道(〒︿〒)
等之后仔细学习一下别人的WP,希望能学到更多有用的知识
个人WPpython口算-pcb2024又是一道小猿搜题的题(果然哪里的CTFer都是一样对热梗毫无抵抗力)
请求/calc路由可以获取到算式信息,直接利用eval()函数就能直接计算了
发送正确的计算结果之后,就可以获取到提示,下载网页源码
分析源码,发现有SSTI注入点,不过不确定黑名...
个人WPHackergame作为中科大举办的CTF比赛,赛题都很有水平和研究价值(而且都很有梗),确实是一次玩的很开心的比赛(虽然做出来的题并不多)
挑出几道我做出来且觉得有记录价值的题来写一写
Web比大小王自从小猿口算火了之后,各大CTF都开始出类似的题了(我们CTFer真是不肯放过任何一个热梗呢)
所以用类似的思路
首先分析前端脚本,发现题目首先请求了/game路由获取游戏数...
这是我第一次正式随战队参加正规的CTF比赛,虽然没能顺利进入线下比赛,也算一次难忘的经历了。(也见识到了闲鱼的真正恐怖之处)
虽然是初赛,比赛的难度也是挺高的,web只做出来一道。
web02首先进行登录,对账号密码都没有要求
登陆到后台,看到输入框,发现输入内容可以回显,先进行SSTI测试,发现不行,于是测试XSS,可以弹出提示框,于是尝试XSS注入(页面中“点击提交当前页面,boss会审...
