一个钓鱼网站，带有后台的管理系统，复现环境的时候因为一个不经意的flag格式，搞了很长时间，关于MySQL大小写不敏感的注入方式，很有意思。

一个CLRF头注入的题目，很有意思，也看了很多别人的解法，测试了X-XSS-Protection的作用，这里写一下自己的想法。

Orange师傅每年都会在HITCON上给我们惊喜，今年的一行php代码挑战也是相当有意思，也从中学到了很多，在这里记录一下。

时间过的很快，已经大三了，这周通宵参加了SECCON CTF2018，几经周折做出了Web的GhostKindom，还是有一些脑洞的，但也收获颇丰，稍微记录一下

SUCTF是江苏高校联盟得战队，题目质量个人感觉很不错，学到了很多姿势。这里把Multi_sql这个题目补一下，结合了一些大佬的思路，加上自己的理解，复现了环境。所以有了这篇文章。文章中可能出现一些我搞不太懂的地方…23333

这次由六星战队负责出题的*ctf质量也是挺好的，虽然和BCTF时间上，有些冲突。但是由于太渣，早就放弃了BCTF，最后很遗憾Web一题也没做出来，只做了道PPC的题目magic_num，所以稍微写点吧