接下来——近期一直在复现一些比赛的题目， 深刻感受到了自己的弱小 感觉想要进一步学习就避免不了要审计。 目前对这些框架和中间件很头痛。自己是没有完整的web开发经验的，感觉没有开发基础很难继续深入了，最近在复现SECCON13的题目时就要一直审计源码，这时才发现自己其实并没有能完整审计一个项目的能力，没有开发经验，只能看懂片段代码，在比赛做题时需大量借助ai协助审计，属于是见过类似的

D3^CTF 复现学习：d3invitation考点： AWS IAM（Identity and Access Management）策略 json 注入 看官方wp和问ai很清楚了， 1234567891011由于session_token里的可访问内容是可由用户控制的，所以能用文件名来控制session_token 实现注入访问 注意在json里要包含双引号的话要用\来转义 如 &quo

ACTF2025 WEB 复现upload忍不住看了眼wp，知道了path可以任意文件读取 然后读到了 ../app.py 然后叫ai注释了一下: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465

打一下xss-labslevel 1可以直接用payload: 1<script>alert("1")</script> level 2自己没试出来，去网上找payload，发现闭合型标签注入可用： 1"><script>alert('XSS')</script> 源码： 12345

Here's something encrypted, password is required to continue reading.

Here's something encrypted, password is required to continue reading.

SEECON 13复现学习一下SEECON 13 的题目 self-ssrf拿到题目里的源码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647import express from "express";const PORT = 3000;const LOC

netdream ctf 2025暑假都在玩了，本想上机看一眼题目，结果超神服务器看都不给看。 找到了web题目源码来复现一下 ezpython打开按f12， 123456789<!DOCTYPE html><html><head><src <title></title> <!-- ：/s3c0nd -->&

Here's something encrypted, password is required to continue reading.

网站留言功能实现前些天给网站升级了留言功能，但是又不想做数据库，于是想到了拿b站动态的评论区做留言的想法这样一来不用给服务器加php，二来又不用建数据库等等，全程在后面跑python脚本，安全性感觉是无懈可击☺ 评论数据爬取和处理先是要拿到指定评论区的数据，上网上查了一下，发现有b站的api可以获取数据，但是在服务器试了一下竟然是被拒绝链接的，看了一下别人先成的b站爬取脚本，感觉又是要定时改c