寒假最后一周_周总结-《我的奋斗south版》第五周:Todo：1.青少年CTF比赛 反思：这次比赛web题全部都做出来啦，很爽的一次比赛，感觉自己的努力有所收获的感觉是真的很爽，但是也有可能是比赛难度较低吧，感觉和之前的比赛难度都不是一个档次，哈哈哈哈哈，骄傲一下，不过总的来说是一次很舒服的比赛，和社团的兄弟们一起奋战了两天，大家都有所成就，希望和兄弟们把接下来的几场比赛都打漂亮了，把我们校队的

Goose战队WriteUp一、 战队信息战队名称：Goose战队 战队排名：44 二、 解题情况 题目名称 解出情况 Web1_PHP的后门 解出 Web2_EasyMD5 解出 Web3_PHP的XXE 解出 Web4_Easy_SQLi 解出 Web5_雏形系统 解出 Web6_javaSerByPass 未解出 Web7_xinxiangoa 未解出

寒假第四周_周总结-《我的奋斗south版》第四周:Todo：1.vnctf题目复现（3天）（复现4题） 反思：这周主要在复现VNCTF的赛题了，感觉复现了好久，两题用了一天时间，givenphp用了一天半，zhi用了两天，感觉自己还是挺菜的，虽然说zhi是0day，但是代码审计居然就看了好多，主要还是自己看代码的时候喜欢刷手机，不过拒绝内耗，积极解决问题，再立一个flag,下周刷题不刷手机，不过

VNCTF 2024 givenphp 复现参考:VNCTF2024-writeup (qq.com) WP参考:VNCTF2024 Writeup | TEL (l1nyz-tel.cc) VNCTF官方WP 场景: index.php:12345678910111213141516171819202122232425262728293031323334353637383940 <?php

VNCTF 2024 CutePath复现参考:http://iscute.cn/chfs wp参考：VNCTF 2024 Web方向 WP-CSDN博客 VNCTF官方WP 场景: 信息收集:查看一下test.txt: 没有有用信息，不过可以得到我们普通用户对该文件夹下具有下载和查看文件的权限。 登录:这里有一个登录框，不过我比赛的时候已经用bp试过爆破，没有爆出来。 使用搜索框进行目录穿越寻找

VNCTF 2024 TrySent 复现参考:https://blog.hanayuzu.top/articles/37dacab4 wp参考:VNCTF官方WP 场景: 是sentcms网站管理系统，一般这些老的cms模板网站都存在着一些文件上传漏洞，我们可以试着找一下. 在浏览器中查找sentcms网站漏洞: 找到一个任意文件上传漏洞。 分析参考资料; 参考资料有一个文件上传的数据包:

寒假第二&三周_周总结-《我的奋斗south版》第二&三周:Todo：south:1.BUUCTF第三面题目全部刷完(9道题，周一，周二，周三)（完成13题） 反思:这两周都是过年的事情，本来以为自己过年会好好学习，还是高看自己了◕‿◕，真的有人过年的时候会好好学习吗，至少我不会(˚ ˃̣̣̥᷄⌓˂̣̣̥᷅ )，最后做到基本上一天一题量已经是我的极限了！第三面总算是告一段段落(๑ᵒ

[CISCN2019 华东南赛区]Double Secret参考:[CISCN2019 华东南赛区]Double Secret - 何止(h3zh1) - 博客园 (cnblogs.com) 场景: 我们尝试用dirsearch扫一下网站的后台找一下，其实可以猜测BP抓包中的cookie，或者网页url/secret 使用dirsearch扫一下网站的后台文件： 访问:robots.t

October 2019 Twice SQL Injection参考:buuctf XCTF October 2019 Twice SQL Injection 二次注入原理+题解_buuctf october 2019 twice sql injection-CSDN博客 场景: 一个登录页面，跟之前一样，先走一遍网页全部的业务逻辑，再来寻找存在的漏洞。 注册一个账户: 登录我们注册的账户: 登录

[网鼎杯 2020 半决赛]AliceWebsite场景:Home界面: 先走一遍网页的业务逻辑，对菜单栏的内容都访问一下: About界面: 访问robots.txt: 没有太多有用信息 查看网页源代码: 发现有一个参数action,后面的值都是文件名，猜测该参数可以进行任意文件读取 使用action参数读取flag文件:payload:1index.php?action=../../../..