打开场景出现：ip地址必须为123.123.123.123 伪造请求头，用brup发包，直接在header里加上X-Forwarder-For:123.123.123.123 必须来自https://...

GET方一般为在url后拼接参数，只能以文本的方式传递参数。因此直接在场景后面后进行拼接?a=1，输出结果即可,然后按提示更改为post数据即可得到flag GET和POST两种请求的区别 最直观的区...

打开场景是一段php代码 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a'>; $b=@$_GET ...

随手设了密码，直接弱口令，秒破。所有的登录界面首先上来就是弱口令试一下

这里是一个标签的样式限制，直接f12查看源码。 一般有两种方法方法一:删除代码：disabled=""然后点击网页上的flag图标就可以得到flag了 方法二：将disabled=""改为disabl...

直接在浏览器网络里面查看，访问cookie.php 查看响应数据包即可得到flag 查看浏览器的Cookie：https://blog.csdn.net/ZWE7616175/article/deta...

常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history这里URL直接加上.bak,index.php.bak 后缀加上即可下载备份 然后检查源码即...

直接访问这个php即可得到flag robots协议： robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络...