Web 象棋王子 年年都有的前端签到题,翻js文件play.js JsFuck,在控制台运行 [][(![]+[])[+[]]+(![]+[])[!+[]+!+&…
前言 大师傅们都太强了,被自己菜哭了QAQ Ez to getflag 网站有两个功能点,一个图片上传一个图片查看。其中图片查看功能可以通过GET参数进行任意文件读取。不知道是不是出题人没配好环境的原因。。 Harddisk 开局一个框。经过…
Misc Domainhacker 简单流量分析过程就是目标用猕猴桃把目标的hash保存到了1.txt 然后压缩到了1.rar。 文件只有TCP和HTTP流,追踪TCP流能够发现蚁剑流量特征 继续追踪,在流15中传输了一个Rar文件。手动导出…
前言 这次分区赛有些题目出的比较水,不过Web方向也有好几道一解零解的,总体来说时间有点不太够。菜鸡只能写写简单题,估计大佬们都跑去卷ACTF了。。。 Web Identity23 抓包,发现回显包头有字段identity:Y0urIdent…
warmup-php 题目给出了几个类的源码,继承关系如下 源码 Base.php <?php class Base { public function __get($name) { $getter = 'get' . $name; i…
前置知识 什么是Pickle? pickle是Python中一个能够序列化和反序列化对象的模块。和其他语言类似,Python也提供了序列化和反序列化这一功能,其中一个实现模块就是pickle。在Python中,"Pickling" 是将 Py…
Web babysql It is a pure sql injection challenge. Login any account to get flag. Have fun with mysql 8. There is somethin…
[watevrCTF-2019]Supercalc 考点:flask Session伪造 页面有计算功能->0/0得到报错信息可知为flask框架->抓包得到flask-session->脚本解密session->网站…
Fastjson 概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Object 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Object。项目地址 F…
概述 ZIP文件格式是一种数据压缩和文档储存的文件格式,原名Deflate,发明者为菲尔·卡茨(Phil Katz),他于1989年1月公布了该格式的资料。ZIP通常使用后缀名“.zip”,它的MIME格式为application/zip。 …