parlooctf2025

反正感觉这个比赛的web出的不好

CatBank

我看到登陆框我还以为是sql注入的，结果是签到题目
这道题目我们注册两个账号，可以负债
一个账号转钱给另外一个账号，当一个账号的余额刚好是一百万时，拿到flag

CatNet

一进去显示一个框，我们先扫目录下
发现有个/admin路由，访问，然后X-Forwarded-For:127.0.0.1
这样绕过了第一个waf
很像杂项题目，做起来怪怪的，有些脑洞，只能这么说了
我们先绕过xff之后，bp抓包

GET /admin/flag HTTP/1.1
Host: challenge.qsnctf.com:32162
X-Internal-Auth: cateye-internal-000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.102 Safari/537.36
Accept: */*
Referer: http://challenge.qsnctf.com:32162/admin
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
X-Forwarded-For:127.0.0.1
Connection: close

X-Internal-Auth: cateye-internal-000
爆破这个请求头来拿到flag
000改为123之后，发包拿到flag

ezblog

可能暂时超过了我的理解范畴

猫猫的秘密

构造JWT的无参数token这些，我觉得我需要比较系统的练习一下这方面的内容，目前都是学的很散，很浅

Catshell

当时比赛时没有人解出来，参与的人比较少呗！
还有没看到官方的wp