新手大白话 [LitCTF 2023]刷题记录1

我Flag呢
直接看源码

PHP是世界上最好的语言！
进入页面查看源码发现为RCE漏洞。直接system('cat /flag'); 点击Runcode

导弹迷踪
js源码问题，f12点开调试器查看game.js代码

点击查看代码

var Messages = {
        START: {
            title: getLevelString,
            text:  function () {return 'CLICK TO BEGIN';}
        },
        CRASH: {
            title: function () {return 'CRASHED';},
            text:  function () {return 'CLICK TO RETRY';}
        },
        GAME_OVER: {
            title: function () {return 'GAME OVER';},
            text:  function () {return 'CLICK TO START AGAIN';}
        },
        FINISH: {
            title: function () {return 'LEVEL COMPLETED';},
            text:  function () {if (mLevel === 6) {return 'GOT F|L|A|G {y0u_w1n_th1s_!!!}';} else {return 'CLICK TO CONTINUE';}},
        }

Follow me and hack me
http协议问题，直接hackbar或者burp抓包修改

Ping

一眼RCE，直接打 127.0.0.1;cat /flag

1zjs
js题目，直接f12看源码，在index.umd.js中发现f@k3f1ag.php，进去发现一大串符号，既然是js题目就和js相关，这里是jsfuck编码（网上搜即可）。

作业管理系统

进入页面看源码发现登陆账号密码，进入点击发现注入点为文件上传，上传一句话木马直接蚁剑连接得flag

剩下的就不做了，都是差不多难度的js，对自身没帮助，sql那道题就是括号多一些的联合注入。这期就这样吧