ctfshow

CTFSHOW web入门 JWT web345-web350目录web345web346web347web348web349web350知识点 JWT 加密算法查看页面源码，有一个/admin 路径

CTFSHOW web入门黑盒测试 web389-web391目录扫描https://867365dc-374b-4b2d-9ebb-2970ca178d02.challenge.ctf.show/alsckdfy/editor/

CTFSHOW web入门黑盒测试 web385-web388目录web385web386web387web388和上一题的步骤一样，打开页面源代码访问/alsckdfy

CTFSHOW web入门黑盒测试 web380-web384目录web380web381web382web383web384目录扫描下python dirsearch.py -u https://ac87a5ae-d960-4072-ab8f-0e74e1ac6342.challenge.ctf.show/

CTFShow-XXE详细代码解析直接上传xml的payload这里我们发现这是无回显的没找到ctfshow内网攻击机我们这里用： https://pastebin.com/——创建shelldtd https://webhook.site/——读取get请求创建shell.dtd开放端口

其实防守也摸鱼

ctfshow--Crypto（crypto1-14）解题步骤很高兴看到你对CTF密码学（Crypto）感兴趣！这就像网络世界的“谍战”游戏，烧脑又有成就感。针对你的需求，我为你整理了一份“密码学入门实战指南”。与其盲目报班，不如先看清这个领域的知识地图，掌握核心工具，再决定如何进阶。

其实防守也摸鱼

ctfshow--VIP题目限免2（后10个）原理和知识拓展本文配套解题过程：ctfshow--VIP题目限免2后10个-CSDN博客，建议一起查看，边做边理解如果不使用在线 DNS 网站，想要解析域名（获取 IP 地址和端口），主要取决于你的具体需求：是想强制指定某个 IP 访问，还是想探测内网或外网的真实 IP，或者是想自己搭建解析环境。

CTFshow misc入门misc81.工具：010 Editor、VMware（Ubuntu）、foremost2.解题：方法一（手动分离图片）：

ctfshowweb入门 SSTI模板注入专题保姆级教程(三)这里又对数字进行了过滤，简单一点的话就用全角绕过：然后这里有用到的一种新的方法是用count或者length去获得数字【两者等价】就比如：

ctfshowweb入门 SSTI模板注入专题保姆级教程(二)又增加过滤了大括号，那么现在过滤的有引号，下划线，中括号，大括号和args，大括号被过滤时我们便可以用{% print ... %}来绕过过滤，再按照我们原来的payload进行修改：

ctfshowweb入门 SSTI模板注入专题保姆级教程(一)前言：本来这篇是不打算写的，自己稍微记录一下就行了，但是我发现后面的题难度也挺大的，而且好多更细的不记录后面也容易忘记，并且网上很多师傅讲的直接是payload（我还是太菜了看不懂），有很多都是我没见到过的，因此这里综合记录一下（其实最重要的是在这里写的能保存成pdf）同时也是对自己找的资料进行一个汇总

ctfshowweb361--一道题从0入门SSTI模板注入前言：这个模块网上的wp其实对第一次接触模板注入的人来说其实不是那么友好，如果直接找wp来看的话大概率就是两眼黑，容易被劝退，我自己也是这样的，更多的是需要我们自己去找别的资料先了解模板注入这一块内容，有一定基础后才能去做相关题目。我想的是能不能将其整合起来，通过一道具体的题目，从0入门SSTI，因此便有了这篇文章。【同样的，魔术方法也是要多打才能熟悉，因此这里不提供可以复制的payload】

CTFshow __Web应用安全与防护第二章开始走了些弯路，在代码里看提示让输入 “echo 'Hello World!';”，然后试了好多次，一直提示 “Execution Result: Error: Invalid characters detected! Only letters, numbers, underscores ,parentheses and semicolons are allowed.”，后来才反应过来不需要按提示做呀，不过也在试的过程中看到 “Parse error: syntax error, unexpected e

CTFshow __Web应用安全与防护第一章在做题之前我们先来了解一下Base64编码的实现过程。 Base64顾名思义就是基于64个字符来表示二进制数据的一种编码方式，而这64个字符是： A-Z (26个) 大写字母 a-z (26个) 小写字母 0-9 (10个) 数字 / 和 + (2个) 特殊符号 = (填充字符) 不是64个字符之一，用于填充

爱冒险的熏肉大饼

ctf.show__Web应用安全与防护(第一章)直接F12查看源代码，划到最下面发现正确密码已经在js文件中暴露，用base64解码得到正确的登录密码

ctfshow-web261（魔术方法啥的还是自行看PHP魔术方法，这里就不单独拎出来了）（如果是按着题目顺序做下来的话这里大概基本上都能看懂是点啥，如果是跳着做的话其实不建议，还是先一步步来，因此这里就不再补基础知识了）

爱隐身的官人

ctfshow-web213-os--shell参数的使用有两个地方需要进行选择：如果是PHP则直接回车默认选择。这两个地方需要选择正确才能拿到shell。

CTFshow系列——PHP特性Web113-115（123）今天继续给大家带来php特性的CTF题目讲解，说实话每次回头看写的文章，总能学到新东西；直接看源代码：

CTFshow系列——PHP特性Web97-100OK，今天晚上也是给大家带来一篇PHP特性的CTF题目。主要是昨天参加了第三届”陇剑杯“比赛，所以也是没有给大家及时的更新；过几天就把这次比赛的Web题以及应急响应的两道题目给大家讲解一下。

CTFshow系列——PHP特性Web93-96提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档还是老样子，先看代码：这个代码的作用很明显