MISC签到题关注公众号，回复关键词：小蓝鲨，我想打ctf 你说爱我？尊嘟假嘟打开是一个docx文档，里面重重复复只有三句话， 你说爱我，尊嘟，假嘟，考虑其跟Ook的解密相性很大，尝试后将 你说爱我 -> Ook. 尊嘟 -&

WEBInclude 🍐提示为LFI TO RCE <?php error_reporting(0); if(isset($_GET['file'])) { $file = $_GET['file']; if

WEEK1ez_serialize源码 <?php highlight_file(__FILE__); class A{ public $var_1; public function __invoke(){

WEB游戏高手本题打开为一个js前端游戏，我们可以通过过关条件查询来找到flag所在位置（即本关需要100000分才可以得到flag） include 0。0 本题需要我们通过伪协议读取，但是其过滤常见的base和rot读取，所以我们需

MISCCyberChef’s Secret本题就是MISC的签到题，打开后是一串base编码， M5YHEUTEKFBW6YJWKZGU44CXIEYUWMLSNJLTOZCXIJTWCZD2IZRVG4TJPBSGGWBWHFMXQT

Win7虚拟机安装首先进入该网站 https://msdn.itellyou.cn/ 下载一个win7 iso镜像，然后打开Vmware 第一步 第二步 第三步 第四步 第五步 第六步、选择BIOS 第七步、选择处理器数量

暴力破解一、基于表单的暴力破解本题打开后为一个简单的登录界面 无论是用户名还是密码我们都是无从知晓的，所以需要通过BP来爆破出其各自的值 先随便输入用户名和密码通过BP抓包 然后发送给BP的Intruder(测试器)，利用其中的Clus

再解释源代码之前，我们需要先了解一下这个php的魔术方法 在解释源代码之前，我们需要先了解一下这个php的魔术方法 __construct()，类的构造函数 __destruct()，类的析构函数 __call()，在对象中调用一个不可

JSON函数json_decode函数 JSON 字符串 ： JSON 中的字符串必须用双引号包围。 例如 {“ctf”:”play”} 俩字符串用:隔开 JSON 数字 ： JSON 中的数字必须是整数或浮点数。 例如

[极客大挑战 2019]EasySQL一、本题做题思路本题打开后是一个登录网站，结合题目所给提示，考虑应该是SQL注入 看一下源代码，发现是get传参，和要加上check.php 判断下闭合方式,发现是‘闭合 结合其为登录页面，

学习web时刷题，其题目确实很基础适合我这种新手入手 一、源码泄露 本题就是简单的查看源代码找到flag。 二、前台JS绕过 本题打开后显示无法打开源代码，但好像只要手动打开源代码就能看到flag， 或者将本题用BP抓包就可以拿到f

本博客只是自己当时做题的想法，并未涉及太深，要更深层次了解，还是需要去看看其他大佬的做题思路。 Pass-01首先会发现，如果直接上传php，会提示不让直接上传该图片但是上传图片可以上传，所以放入BP中看看将1.png修改为1.php再发送