因为每次猫猫都在我键盘上乱跳，所以我有一个良好的备份网站的习惯 不愧是我！！！ 这不就是文件扫描，dirb什么的都可以，经过一番测试，备份文件名为www.zip 直接在url后面输入www.zip,可以获...

启动挑战项目，发现前端界面显示Black list is so weak for you,isn’t it 随便输入几个关键词试试：select，他爆出来所有的黑名单关键词，本来还想fuzz跑一下的 return preg_match(\'/set|prep...

题目 题目打开是这样的查看源码 <!--I\'ve set up WAF to ensure security.--> <script> $(\'#calc\').submit(function(){ $.ajax({ url:\'calc.php?num=\'+encodeURIComponent($(\...

打开环境就只是提示，flag在哪里呢？，查看源代码，和网络加载都没有什么线索，只能扫一下目录，但是buu靶场一扫目录就429，难受，看了大佬的笔记，有一个git文件泄露。 git源码泄露，可以看看...

打开题目就是一串代码需要进行代码审计 <?php include(\'flag.php\'); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function ...

自从前几次网站被日，我对我的网站做了严格的过滤，你们这些黑客死心吧！！！ 尝试登录 admin\'# ，登录成功，但相较于以前做的那个sql题，这个flag铁定错的 [极客大挑战 2019]LoveSQL – ...

解题思路 首先登陆页面发现是这样的： 查看源码源码很正常，也没有什么特别的web 目录扫描 获取到robots.txt下面有一个备份文件 <?php class UserInfo { public $name = \'\'; public $age =...

打开题目就是一段代码，我们稍微美化一下，看的清楚点 I put something in F12 for you include \'flag.php\'; $flag=\'MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}\'; if(isset($_GET[\'gg\'])&&...