KingsmanCTF

你必须让他停下 打开以后我们发现这个页面一直在动，点击F12后也不能显示其完整的源代码，于是我们想到了使用burpsuite抓包。在本机上使用bp相对较为麻烦，于是我打开我的kali虚拟机来抓包。 打

留言板 一般来说有输入框的都为xss漏洞 xss漏洞： 定义/原理： 跨站脚本（Cross-Site Scripting），本应该缩写为CSS，但是该缩写已被层叠样式脚本Cascading Style

Flask_FileUpload 点击F12可以看到注释说使用python来返回运行结果，于是我们可以使用python脚本来破解 此外还可以看到只可以上传png和jpg文件 于是我们写了一个pytho

Simple_SSTI_1 我们打开控制台发现提示我们说要构造一个secret_key变量 于是我们构造payload变量：Flask提供了一个名为config的全局对象，可以用来设置和获取全局变量。