ichunqiu复现_“百度杯”CTF比赛 九月场 Code(web)

题目标题: 考脑洞，你能过么？

打开题目所给的链接，发现是一张图片。

1.png

当时很疑惑明明是web题怎么会考隐写。应该是迷惑你的。
观察链接可以尝试下文件包含。

提交：

index.php?jpg=index.php

然后查看网页源代码

得到以下内容

去掉开头的

data:image/gif;base64,

然后base64解码得到

file:'.$file.'';
$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
$file = str_replace("config","_", $file);
$txt = base64_encode(file_get_contents($file));

echo "";

/*
 * Can you find the flag file?
 *
 */

?>

这里可能会没有思路。后来尝试发现线索在Created by PhpStorm.这里
使用phpStorm开发的程序目录下会有一个.idea文件夹用于存储配置文件。
访问这个配置文件可以知道网站的大体结构。

访问：

/.idea/workspace.xml

返回的内容为:

  
    
    
    
    
    
    
    
    
    
    
  
  
  
    
  
  
  
    
  
  
    
      
        
          
            
              
              
            
          
        
      
      
        
          
            
              
              
            
          
        
      
      
        
          
            
              
              
            
          
        
      
    
  
  
    
      
        
        
        
      
    
  
  
  
  
    true
  
  
    
  
  
  
    
    
    
    
  
  
    
    
    
    
    
    
    
    
  
  
    
      
      
      
      
      
      
      
      
      
      
      
    
    
  
  
    
    
    
  
  
    
      
    
    
      
    
    
      
      
    
    
      
      
    
    
      
    
    
      
      
      
      
      
      
    
    
      
      
      
      
    
    
      
    
    
      
        
      
    
  
  
  
    
  
  
    
      
      1447597471149
      
      1447597471149
    
    
  
  
    
    
    
      
      
      
      
      
      
      
      
      
      
      
      
      
      
      
      
      
      
      
    
  
  
    
      
    
    
      
    
  
  
    
  
  
    
      
    
    
  
  
    
      
        
          
          
        
      
    
    
      
        
          
          
        
      
    
    
      
        
          
          
        
      
    
    
      
        
          
          
        
      
    
    
      
        
          
          
        
      
    
  

发现了目录结构中的fl3g_ichuqiu.php 猜测flag在这里。

1.png

采用前面相同的方法来查看一下fl3g_ichuqiu.php的源代码
访问:

/index.php?jpg=fl3g_ichuqiu.php

返回的内容是：

发现没有返回数据，猜测是被过滤了字符。
回到刚才的Index.php中发现是过滤了_，这里我们用config绕过

访问:

/index.php?jpg=fl3gconfigichuqiu.php

返回:

解码之后，得到

分析之后flag应该是在config中。fl3g_ichuqiu.php文件接收本地cookie值然后解密之后如果等于system即可输出flag，我们要做的就是研究它的加密算法如何让fl3g_ichuqiu.php解密cookie中的username让其刚好等于system。

破解这个算法的着手点就是我们已知guest加密之后的结果。
先用burpsuite拦截数据包读取cookie然后运行脚本。。

用PHP写了个脚本(逃~

由于guest只有五位system有六位，所以最后一位我们需要爆破。。
在脚本中已经写好了所有六位的情况，运行脚本输出。。

dk9FS0SyT0tWRw==
dk9FS0SyT0tWRg==
dk9FS0SyT0tWRQ==
dk9FS0SyT0tWRA==
dk9FS0SyT0tWQw==
dk9FS0SyT0tWQg==
dk9FS0SyT0tWQQ==
dk9FS0SyT0tWQA==
dk9FS0SyT0tWTw==
dk9FS0SyT0tWTg==
dk9FS0SyT0tWFg==
dk9FS0SyT0tWFQ==
dk9FS0SyT0tWFA==
dk9FS0SyT0tWEw==
dk9FS0SyT0tWEg==
dk9FS0SyT0tWEQ==

载入到burpsuite中爆破就好了
找到返回的数据包中较大的Length包查看返回的数据中就有flag。