2022第十五届全国大学生信息安全竞赛(ciscn)西南赛区部分WP

CTF 

webEzSignin访问题目flag是假的,F12源代码,看到base64解码解码得到flagCODE访问题目,有个aid.php直接访问不行,使用PHP为协议进行读取,input2需要等于Welcone!,这里要使用data协议编码一下,input3可以随便输入?input1=php://fil

[ASIS 2019]Unicorn shop

CTF 

买...独角兽...四种都试了下,发现只有4能购买,1、2、3都显示Wrong commodity!第四个显示金钱不够,那就加到1337又说只能输入一个字符,看看源代码吧这里提示说很重要,那应该是和编码有关,这里涉及到utf-8编码的转换安全问题相关知识:https://xz.aliyun.com/

[WUSTCTF2020]朴实无华

CTF 

什么东西都没有,目录扫描发现robots.txt访问后,告诉我,这不是flag,emmmm抓个包看下,发现fl4g.php访问得到源码<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight

[BJDCTF2020]Cookie is so stable

CTF 

找了一圈,在flag.php页面发现一个输入框,抓包看下提示要在cookie进行攻击,应该是个SSTI模板注入,传入{{7*7}}返回49,用的是Twig模块payload:{{_self.env.registerUndefinedFilterCallback("exec")}}

[NCTF2019]Fake XML cookbook

CTF 

根据题目名字知道是XXE漏洞,直接burp抓包看一下,发现有XML实体尝试读取下文件<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note [ <!ENTITY admin SYSTE

[安洵杯 2019]easy_web

CTF 

url中的img=TXpVek5UTTFNbVUzTURabE5qYz0有点像base64,解密看下解密后还是base64,再解有点像hex,转为字符看看应该是图片的名字,尝试使用这种方法推回去,读取下index.phpTmprMlJUWTBOalUzT0RKRk56QTJPRGN3读取到了,解码看

[BSidesCF 2020]Had a bad day

CTF 

点击按钮后,出现了图片,url也发生了改变猜测应该是文件包含,构造语句试一下,php://filter/read=convert.base64-encode/resource=index,测试后发现这里不能加php试着读取flag,发现不行了可能是路径问题,在flag前面加上…/…/,发现还是不行,

[强网杯 2019]高明的黑客

CTF 

有备份文件,下载看一下很多PHP文件,非常乱,随便打开几个,发现里面有shell猜测这几千个php文件中肯定含有可以使用的shell,写脚本尝试。import osimport requestsimport reimport threadingimport timeprint('开始时间: ' +

Web安全知识体系


BUUCTF 篱笆墙的影子

CTF 

栅栏密码