第二届春秋欢乐赛-Hello World

题目内容:

http://106.75.72.168:9999/

这题感觉比较有意思,正常访问打开发现是hello world!,查看源码比较可疑的就是“flag.xmas.js”这个脚本文件

访问文件发现“404 Not Found”,xmas是圣诞节的意思,删除一下试一试,发现flag.js是可以访问的,但是js乱码看不出是什么内容。

扫一下目录,发现git目录

 

应该是Git泄露,用GitHack测试失败,用下面这两个工具都可以,应该可以下载到两个flag.js文件

https://github.com/WangWen-Albert/JGitHack

https://github.com/gakki429/Git_Extract

对比两个flag.js文件diff两个文件修改的内容,可以看到每一个修改行都有一个字母被修改了,拼接修改的字母/数字,最后还要加上一个},成功组成flag。

 

 

posted @ 2020-03-25 15:14  时光不改  阅读(688)  评论(3编辑  收藏  举报