夜未至

使用CISCN2023的web题的unzip来演示压缩包的getshell

本人开了一个知识星球，在星球里每天更新网络安全的文章，其中包含在安全中用到的工具和脚本，分享全国职业技能大赛的相关具体细节及解题思路，在星球中有问必答。然后在地址栏回车，就可以查看网页源代码了，获取到flag：ctfshow{42393163-8074-436c-8383-425d3bd989b6}同样也是开发人员忘记了在发布版本去掉那些注释，只不过web2里禁用了右键检查而已，查看源代码的方式还是有很多，总结：前端验证都是不安全的验证。

在开发场景中，开发人员会忘记将开发时的注释删掉，导致一些意外的问题( 如：getshell)，但是在真实场景中基本上是不可能发生的。不过作为初学者应该去了解这些问题。