CTF 刷题笔记

本文详细解析 [BUUCTF-SUCTF 2019] CheckIn 题，针对 PHP 文件上传限制，通过修改后缀、绕过 PHP 标签过滤、配合图片头和.user.ini配置实现一句话木马上传。

本文为 [RoarCTF 2019] Easy Calc 题解，从页面源码发现 eval 代码执行漏洞，通过参数名加空格绕 WAF、ASCII 编码绕过黑名单，最终执行 PHP 命令读取 Flag

Robots.txt 是存放在网站根目录下的纯文本文件，全称为「爬虫排除标准」。它的作用是告诉网络爬虫 / 搜索引擎哪些页面可以爬取，在 CTF 中常被用来泄露隐藏路径，是最基础的信息收集入门考点。

本文记录了 CTFHub 技能树中密码口令模块的两道基础题目：弱口令（字典爆破）与默认口令利用。通过 Burp Suite 实战演示暴力破解流程，总结默认口令的常见场景与防御思路，适合 CTF 入门选

本文以CTFHub「无验证-文件上传漏洞」为例，完整讲解一句话木马的编写、文件上传利用，以及蚁剑的连接配置。

本文讲解攻防世界 disabled_button 一题，通过修改HTML属性、构造POST请求两种方式绕过前端按钮限制，带你理解前端校验不可信的核心安全思路。

本文以 ctf.show web2 为例，从 SQL 注入原理入手，一步步演示了手动注入的完整流程：确认注入点、判断字段数、确定回显位、查询库表字段，最终获取 flag。适合 CTF 新手入门学习。