360-WP

签到题

html编码+url编码+unicode编码

内存取证题

0x000000007f0815e0 16 0 RWD— \Device\HarddiskVolume1\Users\imanfeng.BIGFENG\Downloads\无标题.png

这个图片打开就是flag,比初赛还简单

Web2

admin/admin 弱口令可登录,.git 源码泄露可获取源码进行审计。upload.php 处采用后缀白名单校验,可上传图片马, 上传后可获取图片上传路径。include.php 中 存在文件包含漏洞,check() 函数可采用 URL双重编码 ? 进行绕过。文件包含图片马执行系统命令在当前目录下发现 xxx_flag.php ,读取即可获取flag。