逆向 xor c="qcoq~Vh{e~bccocH^@Lgt{gt|g" j=1 for i in c:       print(chr(ord(i)^j),end="")       j+=1 gogogo for a3 in range(256):   encrypted = [

nmap nmap一下，只发现22和80 sql 进入item.php似乎参数id能被注入 测试发现当id为123有内容，其他返回no result但是id=5会返回 Dennis, why have

最后得分2240 全国排名大概在七百多的样子 web YWB_Web_xff if ($_SERVER["REQUEST_METHOD"] == "POST") { $cip = $_SERVER["HTTP_X_FORWARDED_FOR"]

最近买了tryhackme的会员，试着刷刷渗透靶场（虽说这个兔子洞不需要会员也能刷） 信息收集 nmap开扫 nmap -sC -sV -oN nmap/initial 10.10.192.187 -v 只开了两个端口，ssh和http http服务只有注册登

前言 上午打这个比赛，下午大物实验，都没时间打ACTF了（XCTF分站赛），看着le0n师傅乱杀web真的有点羡慕，可惜压根没时间打ACTF 这次蓝桥杯题目质量一般般，但是问题不在这里 问题在于CTF这个比赛本身就不应该收钱，如果收钱了应该改名叫圈钱杯 而且感觉官方似乎不太懂CTF，似乎觉得每个人都

云南大学校赛，最终成绩如下 也是体验一次ak了web的感觉 misc（AK！） 随波逐流一把梭，misc基本都能秒 sign1

最近打校赛，搜索资料的时候看到了HackTricks 感觉里面的很多tricks很有价值，于是记录一下学习的过程 HackTricks - HackTricks unicode问题

Masquerade 几个人一起解出来的,三个人一起才写出一题 只能说，国际赛确实难 wp有点乱。。。反正核心考点是：js的toUpperCase加相对路径绕过加domClobbering const { generateToken } = require("../utils/jwt"); cons

之前加入了DK盾的QQ群，看到里面有不少不错的产品，苦于囊中羞涩，还在用着阿里云的99一年的服务器 但是！DK盾竟然有CTFer赞助计划！ 所以来推荐一下（赛博乞讨 官网https://www.dkdun.cn/ QQ群是：727077055 后续： 拿到了一个4c4g的香港服务器 感谢DK

ENOCH个人wp 一个人打，最终总榜24名 sqlmap 经过反复测试最终得到payload http://127.0.0.1/?a=1 -eval=os=__import__('os');a=os.system('env') -v 6 eval可以执行python脚本，由于命令会被分割，选择os