i春秋 “百度杯”CTF比赛 九月场 123

https://www.ichunqiu.com/battalion?t=1&r=0

首先查看源代码，得到提示说用户信息在user.php中，但是我们访问user.php是得不到任何信息的，得不到任何线索，看writeup得到提示，关键词文件读取漏洞、备份文件

于是我就试着访问了user.php.bak，得到了用户名信息，然后根据login.php注释部分的提示，用户密码为用户名+出生年份

明显需要使用爆破，得到的用户名文件作为payload，具体是这样的：
BurpSuite Intrude使用

把我们得到的user.php.bak文件作为payload，即可得到用户名和密码
进入页面后查看源代码：

直接使用firefox的开发者工具更改页面

写个一句话木马，上传抓包：

传不上去，有过滤，更改各种后缀：

php2, php3, php4, php5, phps, pht, phtm, phtml

文件名和文件内容的双重过滤，经过各种尝试之后，得到如下页面：

访问view.php

直接view.php?file=flag.php，结果为filter "flag"

因为前面做题一直都是flag.php存放flag，所以试了半天flaflagg.php，最后把.php去掉就得到flag了，只是一个简单的字符过滤绕过，假如不是把flag替换成空而是替换成_，就没那么容易了