web21 前置知识：tomcat 认证爆破之custom iterator使用：https://www.cnblogs.com/007NBqaq/p/13220297.html 这里爆破的内容是账号密码，但是是被base64加密过的并且格式是xx：xx 这里需要用到bp的Sniper模式，payload选择custom iterator（自定义迭…

我发现我太菜了，于是决定开始刷show X_x web1 在页面注释 web11 域名其实也可以隐藏信息，比如ctfshow.com 就隐藏了一条信息 通过dns检查查询flag https://zijian.aliyun.com/ TXT 记录，一般指为某个主机名或域名设置的说明。 通过Dns检查查询Flag. web13 技术文档里面不要出现敏…