CTF-(i春秋 春秋欢乐杯 web hello world)

题目传送门challge

打开网站发现只显示了Hello word,打开开发者工具,network模块,发现有一个404
CTF-(i春秋 春秋欢乐杯 web hello world)_第1张图片
考虑是否有flag.js文件,输入查询后,发现CTF-(i春秋 春秋欢乐杯 web hello world)_第2张图片
由于代码过长,考虑换种思路,经查阅,此种可能git源码xielou,一般会有 ./git/config文件,尝试访问,确实存在.
CTF-(i春秋 春秋欢乐杯 web hello world)_第3张图片
然后在kali上安装Git_Extract工具,用来下载文件。安装Git_Extract过程如下

git clone https://github.com/gakki429/Git_Extract

之后下载给git_extract.py 赋予执行权限即可
下载

python git_extract.py http://106.75.72.168:9999/.git/ 

可见
在这里插入图片描述
之后使用 beyond compare 工具,将 flag.js 与flag.js.04bb09进行对比
CTF-(i春秋 春秋欢乐杯 web hello world)_第4张图片
不同之处,既有flag
flag为: flag{82efc37f1cd5d4636ea7cadcd5a814a2}
总结:如果发现页面有一些加载不出来的js文件考虑 git 下载,之后还有工具的安装与使用。

你可能感兴趣的:(web安全)