[toc] submission 只允许上传txt文件，看源码上传到uploads文件夹下，但是uploads文件夹权限是000，怎么绕过这一限制呢，难道要条件竞争吗 实际上如果在命令中使用通配符*是很危险的，因为如果上传的文件是.txt,在linux中就会被识别为隐藏文件，通配符无法找到。 其次，

misc和crypto每个人的flag可能不一样 misc xor10 ai一把梭 根据题目中的字符串和提示，虽然提示为“xor10”，但经过分析发现正确的密钥应为十进制的57（0x39）。每个字节异或57后，得到以下结果： 步骤解析： 拆分十六进制字符串： 原字符串拆分为：5f,55,58,5e,

黑客密室逃脱 提示猜文件名，猜几个常见的，app.py读到源码 这里也是脑抽了一下，把密钥看成1236了。。。卡了五分钟左右，解出来的时候已经降到300多分了，加密过程并不复杂，两式相减还原回去即可 from Crypto.Util.number import * key='secret_key12

[TOC] scavenger-hunt 国外的一些ctf简单题就喜欢把flag藏在注释里，开源代码找到第一部分的flag 抓个包返回数据显示304，说明内容没有被更新，剩下的flag很有可能也是被藏起来了。 开dirsearch扫一下，意外找到part4的flag 去提示地址，拿到part6的fl