x

上传的 php 访问是 500,很容易猜到有.htaccess

[NewStarCTF 2023 公开赛道]游戏高手

简单的JS代码审计
直接在console控制台输入gamesource=100000,然后玩游戏,在飞机坠机死亡的时候获得flag

或者
给api.php传json 参数{“score”:“1000000”}

[羊城杯 2020]Blackcat

把mp3下载下来,里面放了源码

hash_hmac数组绕过,exec用;闭合来执行多条命令,把cat flag换成env

如有错误,多多指教

valine