归档 | 远离尘世的幻想乡

2021

09

15

前言关键字:[代码审计|图片马|imagecreatefrompng|imagecrop] 之前比赛做过来着，貌似当时没做出来。现在再试试，还是做不出来，无语了。 <?php if (!isset($_GET["ctf"]))

2021-09-15 Web

CTF Web

14

前言题目描述 I heard cookies and string formatting are safe in 2019? http://challenges.fbctf.com:8083 (This problem does not

2021-09-14 Web

CTF Web SSTI

14

前言无语，去年做过，今天再做又做不来了。 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|di

2021-09-14 Web

CTF Web SSRF

14

前言关键字:[SSTI|flask session构造] 题解扫了下目录，没啥发现解下session，看来是flask？打{{1+1}}提示输入1/0#{{1+1&#

2021-09-14 Web

CTF Web SSTI

13

前言关键字:[system绕过] <?php highlight_file(__FILE__); $comm1 = $_GET['comm1']; $comm2 = $_GET['comm2']; if(preg_match(

2021-09-13 Web

CTF Web PHP代码审计

12

前言关键字:[验证码|JavaScript|无字母数字|js弱类型] const express = require('express'); const bodyParser = require(

2021-09-12 Web

CTF Web JavaScript

12

前言关键字:[nodejs|沙箱逃逸] "use strict"; var randomstring = require("randomstring"); var express

2021-09-12 Web

CTF Web nodejs 沙箱逃逸

10

前言关键字:[二次注入] 题解试了半天不行，原来/www.tar.gz有源码泄漏感觉像是二次注入+错显试了下，原来不是。 1.构造文件名为 ',extension='',filename=

2021-09-10 Web

CTF Web SQL注入

10

前言关键字:[proc|session] 题解这种题做过很多了，当初解个码接下来问题就是找key 尝试破解一下，没成功，还是得老老实实找key 点击图片可以下载，尝试文件包含漏洞可行。 /proc/self &

2021-09-10 Web

CTF Web