攻防世界Web赛题记录

Cat

题目：

https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2

Writeup：

攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-CSDN博客

攻防世界 | CAT - laolao - 博客园

[CTF题目总结-web篇]攻防世界：Cat_T2hunz1-CSDN博客

知识点：

1.输入字符 get传递在网址中显示为%__ 为URL编码，URL编码中ascii字符的边界是%7F，输入大于此的%__可获得报错。

2.Django框架报错中可能存在数据库信息，找DATABASE

3.PHP通常使用cURL库与作为客户端与服务器通信，在cURL库的CURLOPT_POSTFILEDS选项中可以找到突破口，借此我们可以爆出数据库内容。GET传入@加文件路径，读取文件内容。

favorite_number

题目：

https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=5434&page=2

Writeup：

攻防世界 web高手进阶区 9分题 favorite_number_闵行小鱼塘-CSDN博客