網(wǎng)上的wp已經(jīng)很多了，但wp普遍很簡略。我盡量寫的詳細(xì)一點(diǎn)。

一、WEB

滴~

拿到題目后首先右鍵查看源代碼，發(fā)現(xiàn)圖片是以base64傳送的

而且看url發(fā)現(xiàn)里面應(yīng)該是包含了文件名，并且用了某個編碼。測試過后是轉(zhuǎn)16進(jìn)制ascii碼后兩層bases64

（解碼工具是burpsuite）

?用同樣的規(guī)則編碼index.php，為TmprMlpUWTBOalUzT0RKbE56QTJPRGN3，訪問并查看源代碼，內(nèi)容就是index的源碼了，再用base64解碼。

在源代碼里出現(xiàn)一篇文章，打開后發(fā)現(xiàn)是一篇關(guān)于echo的，我在這里繞了很長時間，以為要用到echo的漏洞。

但正解是那個日期，要看那個日期的文章。是關(guān)于swp的：

https://blog.csdn.net/FengBanLiuYun/article/details/80913909

所以訪問http://117.51.150.246/practice.txt.swp，可看到里面內(nèi)容：

f1ag!ddctf.php
通過index代碼，可以看到對文件名做了過濾，只能是數(shù)字和字母。這個感嘆號會被去掉。但還有一句

$file = str_replace("config","!", $file);
這是為了防止讀取config，會把config換成！。但這正好滿足需求，訪問f1ag!ddctf.php
即可。但直接訪問是空白的，所以用同樣的方法讀源代碼

extract($_GET);這里是一個變量覆蓋漏洞，讓k和uid為空就可以了。

或者按正常使用，把k指向一個文件，uid和文件內(nèi)容相同，也能讀出flag：

之前的swp文件這里可以現(xiàn)成使用，沒必要自己搭個網(wǎng)站讓他讀。。有些wp就是自己現(xiàn)搭的網(wǎng)站，算是很鬼畜了。。

reverse

【待續(xù)】

?

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/cnnnnnn/p/10849910.html

總結(jié)

以上是生活随笔為你收集整理的2019 DDCTF 部分writeup的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。