2019 DDCTF 部分writeup

網上的wp已經不少了，但wp廣泛很簡略。我儘可能寫的詳細一點。

1、WEB

滴~

拿到題目後首先右鍵查看源代碼，發現圖片是以base64傳送的

並且看url發現裏面應該是包含了文件名，而且用了某個編碼。測試事後是轉16進制ascii碼後兩層bases64

（解碼工具是burpsuite）

 用一樣的規則編碼index.php，爲TmprMlpUWTBOalUzT0RKbE56QTJPRGN3，訪問並查看源代碼，內容就是index的源碼了，再用base64解碼。

在源代碼裏出現一篇文章，打開後發現是一篇關於echo的，我在這裏繞了很長時間，覺得要用到echo的漏洞。

但正解是那個日期，要看那個日期的文章。是關於swp的：

https://blog.csdn.net/FengBanLiuYun/article/details/80913909

因此訪問http://117.51.150.246/practice.txt.swp，可看到裏面內容：

f1ag!ddctf.php
經過index代碼，能夠看到對文件名作了過濾，只能是數字和字母。這個感嘆號會被去掉。但還有一句

$file = str_replace("config","!", $file);
這是爲了防止讀取config，會把config換成！。但這正好知足需求，訪問f1ag!ddctf.php 
便可。但直接訪問是空白的，因此用一樣的方法讀源代碼

extract($_GET);這裏是一個變量覆蓋漏洞，讓k和uid爲空就能夠了。

或者按正常使用，把k指向一個文件，uid和文件內容相同，也能讀出flag：

以前的swp文件這裏能夠現成使用，不必本身搭個網站讓他讀。。有些wp就是本身現搭的網站，算是很鬼畜了。。

reverse

【待續】