拖更，估计年后了，假期不做题嘿嘿。讲真，生产队的驴都不敢这么出题。。。一个假期一百多道 web334 web335 web336 web337 web334源码可以得知账户名与密码，但是login.js出现了这一句return

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请

JWT(json web token)跨域认证解决方案，入门教程 web345 web346 web347 web348 web345没加密，直接伪造，推荐网站：https://jwt.io/ web346有加密，不能爆破，改

WankkoRee师傅、Mr.水函师傅带飞我，这次比赛学到不少东西，先放个排名，膜拜师傅们第一次ak web，后援团的大师傅们的思路都很骚，多多学习，今天被引号闭合搞了两次，以后注意，phar的闭合与cms的闭合 easyci hel

因为我不太会xss，所以写的可能不是很顺畅，也会罗嗦一点，师傅们轻喷 XSS预备知识 0x00 什么是xss？ 0x01 xss危害 0x02 xss三种分类 web316 web317 | 318 | 319 web320 |

web301 web302 web303 & 304 web305 web306 web307 web308 web309 web310 web301下载源码，我还掏出seay审计了一下，没审到东西以为坏了。。。check

0x00 前言 0x01 开庭 0x02 文件包含(LFI) 0x03 登陆sql注入 0x04 越权？ 0x05 getshell 0x06 最后 0x00 前言第一次审计cms，粗糙了些，webU•ェ•*U的究极还是代码审计吧

跟着太空人师傅一队，被带飞，spaceman太强辣！最终取得总积分26名，也得奖了很开心，只是现在还没说奖励是啥哈哈哈，放张图纪念一下嘿嘿 MISC FM WEB ezsql 你能登陆吗&你能登陆吗2 MIS

说一些有的没的：payload（有效攻击负载）是包含在你用于一次漏洞利用（exploit）中的ShellCode中的主要功能代码shellcode（可提权代码） 对于一个漏洞来说，ShellCode就是一个用于某个漏洞的二进制代码框架，有

复现链接：https://buuoj.cn/ [SUCTF 2019]EasySQL [SUCTF 2019]CheckIn [SUCTF 2019]Pythonginx [SUCTF 2019]EasySQL这题我也是懵

签到 Command flaskbot easygogogo doyouknowssrf 第一次比赛做出来这么多题，感谢太空人师傅给的很多思路，不得不说，师傅真滴强 签到base64解码，讲真，这才叫签到题 Command %09制

[De1CTF 2019]SSRF Me [De1CTF 2019]SSRF Me#! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask