* зашифрованный мессенджер * Komunikator z 'bezpiecznym' szyfrowaniem server-side i SQLi w logowaniu * `requests.post(url + '/login/', json={'login': "' OR 1=0 UNION SELECT 'krzys_h', '21232f297a57a5a743894a0e4a801fc3' -- ", 'password': 'admin'})` * (Python Flask, bez źródeł?) * Выполняет! * strona która pozwala odpalić preg_replace * cel: użyć PREG_REPLACE_EVAL * guzik do wysłania forma ma mieć napis "Выполняет!" bo to może być "wykonaj preg_replace" albo "wykonaj mój kod PHP" xd * (PHP, bez źródeł ale z jawnie napisanym że to jest preg_replace na stronie) * русский декомпрессор * przepakowanie .tar.gz na .zip * z .tar.gz rozpakowujesz symlinka na /flag.txt, potem kompresja bierze target tego symlinka * (Python, źródła niewiele zmieniają więc opcjonalnie) * Коллизия поездов * panel logowania do pociągu * hashe z 0e na początku i podwójne porównanie w php * https://github.com/spaze/hashes/blob/master/sha256.md * (PHP, można dać źródła bądź nie zależnie od tego jaki chcemy poziom trudności) * ВКонтакте (jak te rosyjskie social media) * strona pozwalająca na upload zdjęcia * weryfikuje czy obrazek jest poprawnym JPEGiem, nie weryfikuje rozszerzenia * można wepchnąć kod PHP w EXIF comment i się wtedy wyevaluje * (PHP, można dać źródła bądź nie zależnie od tego jaki chcemy poziom trudności)