00勇士王子的博客

unserialize3打开环境，是一段代码function用于声明函数PHP 的魔术方法函数由上图可知，__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的，但是在题目代码中并没有序列化字符串。于是，我们这里实例化xctf类并对其使用序列化（这里就实例化xctf类为对象a）<?phpclass xctf{ //定义一个名为xctf的类public $flag = '111'; /

upload1典型的文件上传题，先试着上传一句话木马1.php文件：被拦住了，查看源码，看看是什么拦住了，发现是一段js代码那就先将后缀改为jpg，上传时候抓包然后在包里将后缀改回php，上传成功了蚁剑连接找到flag...

PHP2打开题目环境没啥线索，开御剑扫了 一下，也没扫出来啥东西看了别人的wp，说能扫出来一个index.phps，可以看到源码（看来是我的御剑字典不够强大）我去查了一下phps文件：phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。其实，只要不用php等已经在服务器中注册过的MIME类型为文件即可，但为了国际通用，所以才用了phps文件类型。回来看代码，页面中的代码明显不

1.baby_web题目描述中提到初始页面，一般都是 index.php进入题目环境，可以看到是1.php将1.php改成inex.php，然后发现页面直接跳转到1.php了那就F12查看网页响应情况，再次访问index.php，然后发现确实访问index.php了，在返回的响应头中发现flag。flag{very_baby_web}2.Training-WWW-Robots打开题目环境，一堆英文，看不懂翻译一下和之前新手练习区第二题一样，考察robots协议，直接访问 i

写在前面：本人CTF小白，在web方面的水平更是不高，因此如果文中有不足之处，还请指出。写本文主要有两个目的：一是防止自己将做过的题目知识点遗忘，二是希望可以在一定程度上帮助到像我一样的小白。1.view_source题目中说右键不好用了，意思是说无法通过点击鼠标右键进行查看网页源代码了。我们可以采取另外一种方式进行查看：F12键。flag就藏在网页源码中：cyberpeace{782...