青少年CTF平台-Web-PingME

青少年CTF训练平台 Web-Easy PingMe02

Bear（熊日解码）、表情包、神奇的压缩包、Whale、小光的答案之书、是我的 Hanser!、上号、多情、我们的秘密、仓鼠的窝

3、用户在未查看过writeup前提下，提交正确flag后，可对题目进行评分，在以下选项中，任选一项进行评分，将立即影响题目的难度分：很简单（-2）、简单（-1）、一般（0）、难（+1）、很难（+2）。内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…解决大家的烦恼，提供一个真正优质的CTF平台，供各位CTF爱好者们进行技术交流和分享，这是看雪设计此平台的初衷。

青少年CTF训练平台Easy_Web

web部分CheckMe1-8，仅供参考

一星简单题，看我如何给你过了。启动环境，等待三十秒先喝口水。

这是一段存在命令注入风险的 PHP 代码。号，如果使用则会出现Hacker detected！，获取当前执行命令的用户名，借此实现入侵获取系统信息。当然，攻击者还可以替换。为更具破坏性或获取敏感信息的命令，如读取重要配置文件等。前命令失败会执行后面命令）。例如上述输入，先执行。逻辑运算符（在 Linux 系统命令执行逻辑中，（此命令正常运行，对服务器无害） ，然后会执行。获取用户输入的 IP 并执行。这类内容能成功入侵。

首先观察页面 发现页面提示/?ip 根据提示传入参数。cat、flag被过滤 用\绕过。发现过滤了空格，用%09绕过。加入管道符|进行执行命令。

青少年CTF_WEB

青少年CTF-取证

如果想效率更更高，我们还可以自己生成Linux常见列出目录文件和查看文件等命令和常用字符以及关键字的字典，并使用BurpSuite进行爆破查看那个命令和字符以及关键字的过滤情况。'作为命令之间的连接符，当上一个命令完成后，继续执行下一个命令。当然Linux系统查看文件内容的命令还有很多，这里就举着三个例子了。因为f开头的文件只有flag这一个文件，所以查的就是flag。cat是Linux系统里面最常见的查看文件内容的命令。ls是Linux系统里面的列出目录文件的命令。查看根目录下flag文件的内容。

青少年CTF训练平台 Web-Easy POST&GET

好家伙，比赛结束了还有一道0解web题是吧(随缘写点wp(简单过头，看个乐就好)

界面为终端页面，flag一般在主路径下，我们使用cat 查看文件cat /flag。

这次的青少年CTF擂台挑战赛，相较于去年，我觉得，今年的web题很适合刚入门的初学者进行攻克，难度属于中等对于初学者来讲，还是需要了解一些web方面稍微深层的知识，并且做题还是需要一些脑洞。话不多说咱们开始。