[极客大挑战 2019]Havefun (一起来撸猫) CTF复现
前言
这是一道非常简单基础的CTF题,好久都没有遇到这种简单的题了,让我看到了生活的希望,对未来充满了向往
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Havefun
(https://buuoj.cn里面web类的[极客大挑战 2019]Havefun)
复现
-
初次试水
打开题目链接我们可以看到只是一个静态页面,就连可以点的东西都没有
-
明察秋毫
页面出了一只可爱的胖猫以外啥都没有,一下子就感觉这道题不简单呀,难道又是一道烧脑的CTF吗?
我们再进一步去试探,右键查看源代码,看看里面有没有提示或者信息泄露什么的 -
一脸懵逼
在源代码最后几行中出现了可疑的注释
<!--
$cat=$_GET['cat'];
echo $cat;
if($cat=='dog'){
echo 'Syc{cat_cat_cat_cat}';
}
-->
这是一段PHP代码,我们以GET方式传入cat,直接输出cat的值,如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat}。开始我还以为Syc{cat_cat_cat_cat}就是flag,提交发现失败了,但是这个格式和flag长得特别像,就算不是flag也可能和flag有种xx关系。我们试着传入cat的值为dog(http://d776180d-4960-4eca-8b2a-e87c5f2f3d71.node3.buuoj.cn/?cat=dog)
结果出来的不是Syc{cat_cat_cat_cat},而是真的flag,我也是一脸懵逼呀。
总结
也许出题人就是想考一下‘聪明’人,故意写一个假的flag把人给强制带偏。我们在CTF比赛中要多去试探,不要为了节约一些时间而错过了出题人给你的惊喜