LitCTF2023（复现） Web： 1、我Flag呢？ ​ ctrl+u 读取源码，在最后发现了flag： <!--flag is here flag=NSSCTF{3d5218b9-4e24-4d61-9c15-68f8789e8c48} --> 2、PHP是世界上最好的语言！！ ​ 右边那个框下面是 RUN CODE ，结合题目是PHP，推测为RCE，先输入echo 12

目录 Misc 涐贪恋和伱、甾―⑺dé毎兮毎秒 你说得对，但__ 盯帧珍珠 Everywhere We Go 关键，太关键了! 女装照流量 原铁，启动！ 舔到最后应有尽有 The love Web exx 一个....池子？ SAS - Serializing Authentication System 浏览器也能套娃？ 高亮主题(划掉)背景查看器 百万美元的

题目： from Crypto.Util.number import *from secret import flagm = bytes_to_long(flag)n = 1for i in range(15):n *=getPrime(32)e = 65537c = pow(m,e,n)print(f'n = {n}')print(f'c = {c}')n = 15241208

这道题没啥好说的，题目标签为源码泄露，我们直接Ctrl+U查看网页源码就能在最后找到flag 本题完

目录 [LitCTF 2023]PHP是世界上最好的语言！！  [LitCTF 2023]Vim yyds  [羊城杯 2020]easycon [LitCTF 2023]PHP是世界上最好的语言！！ 无参，根据题目提示看看php能否执行——返回1执行成功 用system()函数调用、执行ls /命令，查看根目录 发现存在flag，cat查看flag文件 得到flag

[LitCTF 2023] Web类题目做法及思路解析（个人分享） 题目平台地址：NSSCTF | 在线CTF平台  一、[LitCTF 2023]我Flag呢？ 奇怪，放哪里了，怎么看不见呢？（初级难度） 1.访问页面进行信息收集，发现该页面按钮都点击不了，直接查看网页源代码得到flag NSSCTF{7fc9905b-d9f5-4b5a-bca3-5f06be151235

[LitCTF 2023]Vim yyds wp 题目页面如下： 搜索一番，没有发现任何信息。题目描述中说到了源码泄露，那么先进行目录扫描。 dirsearch 目录扫描 命令： dirsearch -u "http://node4.anna.nssctf.cn:28588/" 返回结果： 在结果中发现一个 .index.php.swp 文件。 直接访问该文件将其下载下来

打开环境后提示说，只允许在本地访问，本地访问，还是想到了XFF字段  好家伙的，直接被嘲讽，还是了解太少了，都不知道还有没有其他方式可以控制ip地址信息  经过查看wp，得知一种新的方式 Client-IP 当客户端发送HTTP请求时，可以使用不同的字段来传递客户端IP地址。 Client-IP： - Client-IP是另一个用于传递客户端IP地址的HTTP请求头字段，但并不