第二届春秋欢乐赛-Hello World
题目内容:
http://106.75.72.168:9999/
这题感觉比较有意思,正常访问打开发现是hello world!,查看源码比较可疑的就是“flag.xmas.js”这个脚本文件
访问文件发现“404 Not Found”,xmas是圣诞节的意思,删除一下试一试,发现flag.js是可以访问的,但是js乱码看不出是什么内容。
扫一下目录,发现git目录
应该是Git泄露,用GitHack测试失败,用下面这两个工具都可以,应该可以下载到两个flag.js文件
https://github.com/WangWen-Albert/JGitHack
https://github.com/gakki429/Git_Extract
对比两个flag.js文件diff两个文件修改的内容,可以看到每一个修改行都有一个字母被修改了,拼接修改的字母/数字,最后还要加上一个},成功组成flag。
知识要大家一起分享,但带上原文链接是对作者的尊重。