摘要:
[SWPUCTF 2022 新生赛]numgame 进来直接问我10+10等于几 加到20发现变成负数了,根本不行,直接view-source 查看两个js文件,第二个直接出来了 一眼base64直接解码 得到 NsScTf.php 得到下一个页面的源码 <?php error_reporting( 阅读全文
摘要:
[WUSTCTF 2020]朴实无华 开局一个hack me,查看源代码没有东西 开始扫目录得到robots.txt 访问给的路径 测试后发现是假flag,找半天都找不到下一个在哪 接下来是重点 在响应头里可以看到下一个 Look_at_me:/fl4g.php 得到下一个源码 <?php head 阅读全文
摘要:
[HNCTF 2022 WEEK2]ez_SSTI 题目说了是ssti,但这里不知道参数,一般不知道参数先尝试name 确定用了ssti模版,并且测试没有过滤 payload:?name={{config.__class__.__init__.__globals__['os'].popen('ls' 阅读全文