hackthebox上的web challenge ezpz是去年十二月末才新出的一道ctf题目。这道题相当的有意思，而且对我还是比较有难度的，但是做出来的那一瞬间又发现其实并非那么令人困扰，反而学到了许多。所以在此记录一下做题过程。
感谢zjy师傅以及外国网友Z1LV3R的提示

week3的难度更上一层楼。果不其然ak掉web的flag倒了，最后还是差一道题(其实是因为xss花了太多时间没做出来自闭了不想做了)总而言之收获不小，也头一次感受到高手切磋的意思。下个week估计不会再花这么多时间做题了。干脆写下欠着的笔记以及其他事吧。

第二周的题目明显难度提升了些许，不过稍微花点时间还是能做的。因为时间原因只做了web，但是能ak掉web已经算不错了hhh。希望在后面两个week还能继续如此吧。其中因为第四道题花了很长时间才做出来，干脆总结下做题经验顺便当学习笔记写写。

萌新的第一次hgame开始了。week1的难度比较友好，至少从web上来说是这样的，自己目标也不高，争取做到每个week能akweb就满足了。这次的web整体上比较简单，除了我自己被坑到的codeworld（中间居然被ban了ip,我只是用脚本post了一次 ，没拿扫描器扫啊啊啊）剩下的3题加起来基本1小时以内就能做完hh。除此之外还试了试密码学跟misc的简单题，也都写一写过程吧。（另外体会到re,pwn真的是爸爸，爷爷，排名高的基本都是二进制的……,我什么时候才能学会二进制啊）

看到官方发布了才发的，那就贴下官方的：https://github.com/vidar-team/Hgame2020_writeup

终于又等到hackthebox更新退役靶机了，这次的靶机是AI。因为比较有意思所以来记录下。不过过程并非一帆风顺。其中还遇到靶机磁盘写满导致无法写入文件的事。删了半天才想起来要重设靶机……

跟上次一样参考了下大神的视频https://www.youtube.com/watch?v=7n7YRntu3bc&t=1391s视频真的非常良心。

本来打算这几天重新从头开始学下sql注入的，毕竟hgameweek1的wp都已经写好了，题能做的都做了。但是猛然想起今年在混了下GXYCTF前还实打实的打了GWCTF跟SWPUCTF。当时GW的题做了两道web，一道php随机数漏洞一道phpmyadmin getshell，没什么含金量就没写。而且事后看其他选手就只有一个人web做了三道，其余基本都是1,2道就觉得没什么复现其他题的必要；swpu就完全相反了，web题难度对我而言有些高了，而且还有坑在里面。当时就做了三道隐写题（记得每道隐写都是zip型题目），之后没条件后也没时间复现。所以在此再次感谢buuoj给了我复现题目的机会……

今天也来接着做下GXY的几道web题

禁止套娃

首先是禁止套娃这一道，题目类型为无参RCE。我也是通过这一道题才了解到无参RCE这个名词，不过后来仔细想想，原来做过的BugKu的过狗一句话也有相似之处……

话不多说，先给出我参考的文章：

说来惭愧，之前12月份初报了GWYCTF,结果到了比赛的时候又因为复习忙的焦头烂额，所以一道题目都没看。刚好因为题目难度是针对校内招新的，我就现在复现下吧：
题目复现地址：https://buuoj.cn/
大佬们在各种比赛群里应该已经知道了这个平台的存在了，有一说一那位师傅是真的富……
还是要感谢buuoj.cn提供了一个复现这些年大赛题目的机会。

总算是挺过了期末12门的魔鬼考试日程，迎来了寒假……这次寒假打算学的还挺多的，也希望自己能坚持学习，把知识尽量融会贯通吧。之前曾说过希望能早日拿下自己在hackthebox上的第一台靶机，没想到这么快就在帮助下拿到手了。其实在进入期末复习阶段中的一段时间，自己就参考youtube上一位优秀的hacker youtuber关于hackthebox的视频成功拿到了靶机，只不过一直没写文章。而现在这台Wall靶机在hackthebox上也已经处于下架状态，所以我就简单记录一下拿下Wall的过程，没法贴实操图了。