web

(>﹏<)

这题一开始自己传参没出，XXE，最后是队友问的AI出的

web

吃豆人

一个吃豆子的小游戏，比赛的时候看到要求要吃到一万分
五条命，没吃到，当时死了出现了base64交的不对，就不管了
跟着赛后官方wp复现，看到index.php里面的有两串可疑的字符

第一个是错的，第二个先放到cyberchef里面解一下，是base64

猜测是凯撒或者栅栏，随波逐流梭出来flag

签到

bash内置变量进行RCE

在刷ctfshow第119题的时候，毫无头绪，后来在网上检索到别的师傅写的，是利用Linux内置的bash变量进行RCE的
当时看别的师傅用的payload是这个

签到题

CTF常见的敏感文件和源码泄露

JS代码文件，小游戏可以Ctrl+f搜索alert
禁用JS
view-source查看源码
Ctrl+U查看源码
burp查看响应包

命令执行

web29

先打开题目环境