Author：颖奇L'Amore Blog：www.gem-love.com 全是复现的，比赛时间和SCTF刚好冲突了，但是质量是真的彳亍 Admin Panel 考点：原型链污染 非常困难的sqlite注入 SSIT 难度：Very Hard 这个题是真的牛批 是一个Admin Panel的登录，但是不知道密码所以登录就会被AccessDenie…

Author：颖奇L'Amore Blog：www.gem-love.com 在屯了1个flag没交的情况下打进了前40，线下决赛见 do you know 考点：代码审计 难度：baby 上来就是代码 <?php highlight_file(__FILE__); #本题无法访问外网 #这题真没有其他文件，请不要再开目录扫描器了，有的文件我…

Author：颖奇L'Amore Blog：www.gem-love.com Check In 考点：.htaccess重写、CGI 难度：简单 题目上传不会修改文件名，但是过滤了ph，对于此类题目考虑htaccess重写 但是本题目会检测文件内容 黑名单： perl|pyth|ph|auto|curl|base|>|rm|ruby|open…

Author：颖奇L'Amore Blog：www.gem-love.com 不知道这比赛是不是正在进行，防止被搜到，就不写出来比赛名称了 考点：布尔盲注 难度：简单 水群时候看到有人发的： 然后就去看了看，直接穿进去id数字然后进行查询 他这个题会直接输出过滤后的语句，所以能很直观的看到什么东西被ban掉了，就像这样： 简单fuzz后发现ban掉…

Author：颖奇L'Amore Blog：www.gem-love.com 题很难，CTFTime上的权重也很高，周末的比赛，但是周末一直在打MRCTF和MUST-CTF，这个就算打了感觉也没太多输出，菜是原罪 趁着部分环境还没关，把题目详细研究一下，又学到不少新姿势 WEB Library(150pt) We have written a pr…

Author：颖奇L'Amore Blog：www.gem-love.com 虽然作为部分题目的出题人，本wp依然是作为选手角度来写的，非官方wp。 出题笔记：点我查看 官方wp：链接1 链接2 Element Master 出题人：我 考点：信息收集、联想、Python 难度：简单 打开题目是个漫画： 可以看到，右下角的小人站在了俄罗斯🇷🇺国旗上…

Author：颖奇L'Amore Blog：www.gem-love.com 被Nepnep带躺两天，师傅们都tttttttttttql 有俩题还没来得及写wp 环境没了 算了 happyvacation | 16solved 571pt  考点一、GIT泄露 扫出来/.git目录，一键githack得到源码 考点二、代码审计 1.customli…

Author: 颖奇L'Amore Blog: www.gem-love.com 搞了一星期神经网络，终于可以歇一下了，做两道题放松放松 EasySQL 万能密码一键登录 'or 1=1# 'or 1=1# 即可得到flag LovelySQL 依然可以用万能密码登录，得到： Hello admin！ Your password is 'c6655…