server下载 只能输入[,],(,),!,其实就是jsfuck编码，第一层eval就可以理解为jsfuck解码 这里还有一个eval，在这里的命令是可以执行的，所以可以直接res.send(flag) 当时没想到这个做法，想反弹shell或者dnslog外带的，没成功，主要对js不熟，所以就只能对flag一位一位进行爆破了，恕我代码写的很烂，爆…

题目一名称 1.  步骤一 抓包改请求方法为HS即可 题目二名称 1.  Xxxxx 拿dirsearch扫一下目录发现robots.txt,里面提示user.php.bak,访问下载下来，得到user.php的源码，看起来就像反序列化，不过没看到unserialize函数，先放在这，然后通过测试，可以在view.php get…

ez_flow下载 在流量包里发现在进行rce操作，发现对flag.php进行了压缩，对执行的命令进行base64解码，可以得到cd /d "C:\\Program Files\\phpstudy_pro\\WWW\\LitCTF-pcapng"&zip -P "PaSsw0rd_LitCtF_L0vely_tanJi" f1ag.zip …

from sklearn.naive_bayes import MultinomialNB import time import random from hashlib import * # 定义决策表示 ROCK = 0 PAPER = 1 SCISSORS = 2 X_train = [[]] y_train = [] …

这题走md5肯定是行不通的，那么关键就在这个copy函数上，像file（），copy（）这些系统文件操作函数是可以使用php伪协议的，但是毕竟不是文件包含，无法直接将文件包含出来，那么可以通过侧信道爆出来，工具地址https://github.com/synacktiv/php_filter_chains_oracle_exploit， 多爆几次，…

1 查看源码 2 3 抓包，flag在响应里面 29 传入c参数，不能含flag，可以用通配符绕过，eval函数将字符串当作php代码执行,所以用system('cat *lag.php') 30 过滤了system，flag和php，直接passthru('cat fl*'); 31 过滤了"cat sort shell"以及，点，空格，单引号 …