[极客大挑战 2019]Havefun (一起来撸猫) CTF复现

前言

这是一道非常简单基础的CTF题,好久都没有遇到这种简单的题了,让我看到了生活的希望,对未来充满了向往
题目链接:https://buuoj.cn/challenges#[极客大挑战 2019]Havefun
https://buuoj.cn里面web类的[极客大挑战 2019]Havefun)

复现

  • 初次试水
    打开题目链接我们可以看到只是一个静态页面,就连可以点的东西都没有

  • 明察秋毫
    页面出了一只可爱的胖猫以外啥都没有,一下子就感觉这道题不简单呀,难道又是一道烧脑的CTF吗?
    我们再进一步去试探,右键查看源代码,看看里面有没有提示或者信息泄露什么的

  • 一脸懵逼
    在源代码最后几行中出现了可疑的注释

                <!--
        $cat=$_GET['cat'];
        echo $cat;
        if($cat=='dog'){
            echo 'Syc{cat_cat_cat_cat}';
        }
        -->

这是一段PHP代码,我们以GET方式传入cat,直接输出cat的值,如果cat的值为dog则将直接输出Syc{cat_cat_cat_cat}。开始我还以为Syc{cat_cat_cat_cat}就是flag,提交发现失败了,但是这个格式和flag长得特别像,就算不是flag也可能和flag有种xx关系。我们试着传入cat的值为dog(http://d776180d-4960-4eca-8b2a-e87c5f2f3d71.node3.buuoj.cn/?cat=dog)
结果出来的不是Syc{cat_cat_cat_cat},而是真的flag,我也是一脸懵逼呀。

总结

也许出题人就是想考一下‘聪明’人,故意写一个假的flag把人给强制带偏。我们在CTF比赛中要多去试探,不要为了节约一些时间而错过了出题人给你的惊喜

posted @ 2020-01-27 21:41  g0udan  阅读(4232)  评论(0编辑  收藏  举报