NewStarCTF 2023_第一周WPErrorFlask 根据网页显示的内容，我们需要提供它一个number1和number2的值，没有告诉我们具体的请求方式，我们先用get请求先传输一个number1值试试: payload: 1?number1=1 发生报错，在报错信息中寻找一下有没有flag： 发现flag,这里应该是没有num2的值所以num2为空就报错显示了 Begin of

CNSS [Easy] ezhttp1.查看题目描述: 这题考查的使http的请求，猜测可能是要对http的请求头的各个字段进行修改，则使用BP查看该网站的请求头 2.BP抓包该网站: 查看响应的内容中，有提示:只接受CNSS请求，游览器一般的请求方式为GET和POST，这里只接受CNSS请求，说明要将GET改成CNSS: 发现得到不同的响应结果: 1只能在安卓微信内置浏览器中请求 User-

Polar秋季个人赛WEB_WPezupload: url: 1http://2469cefa-72d1-4f8f-a274-87b44a1cc826.www.polarctf.com:8090/uploads/pass1.php payload: 1pass=system('cat ../flag.php'); 再来ping一波啊payload: base64绕过法格式

[De1CTF 2019]SSRF Me1.查看提示: 2.打开网页: 观察代码，感觉是flask注入,整理代码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757

[BSidesCF 2019]Futurella & [BSidesCF 2019]Kookie 题解[BSidesCF 2019]Futurella：1.打开网页: 2.查看网页源代码，ctrl+f寻找flag： flag=flag{bbc0ff54-a162-4d27-a1db-2e02a3bb9208} [BSidesCF 2019]Kookie:1.打开网页: 发现需要

[CISCN2019 华北赛区 Day2 Web1]Hack World1.打开网页: 发现有一个注入点，尝试对其进行注入，由题目提示得，flag在数据库中，所以该注入点应该为sql注入: 使用BP测试该网站属于什么请求: payload: 11 使用脚本判断该网站过滤了哪些内容: 1234567891011121314151617181920212223242526272829303132

[极客大挑战 2019]FinalSQL1.进入页面: 发现题目提示有盲注 2.由于我们不知道正确的用户名和密码，所以我们不能通过用户名密码的输入来获取true和false页面的响应，因为在不知道正确的用户名和密码的情况下，无论如何返回的都是false界面，所以我们需要寻找其它的盲注注入点 3.根据题目提示选择神秘代码:点击1: 点击2： 点击3： 点击4： 点击5： payload:

[CISCN 2019 初赛]Love Math1.打开网页发现是PHP代码: 12345678910111213141516171819202122232425262728<?phperror_reporting(0);//听说你很喜欢数学，不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE

[CISCN2019 华东南赛区]Web111.打开网页后观察: 根据网页显示的内容得，我们可能需要对网页的请求头进行更改 2.BP抓包: 由网页显示的内容得，我们可能需要修改headers中的X-Forwarded-For 对该字段进行修改，先随便写一个IP： 1X-Forwarded-For:127.0.0.1 我们输入的内容在网页的Current IP中显示，即我们输入的内容可以被渲染

[SWPU2019]Web11.点击网页之后，注册一个账户，然后登录(登录界面和注册界面的sql注入已经测试，发现没有用): 2.点击申请一个广告: 在该页面中也存在疑似注入点，先随机申请一个广告: 3.点击广告详情: 显示了该广告的内容 4.猜测该页面的事务处理逻辑：申请广告页面: insert into table VALUES(“广告名”,”广告内容”,……..); index.php显示