打開只有一句hello world,直接查看源碼,發現一個flag.xmas.js文件
試試直接訪問http://106.75.72.168:9999/flag.xmas.js http://106.75.72.168:9999/flag.xmas 訪問不了
再試試http://106.75.72.168:9999/flag.js發現下載下來這個js文件了
是一個打亂了的js文件。。。。。沒有耐心去看這么多打亂的js代碼
可能是.git文件泄露
直接用githack去抓一下試試
依次打開檢查
發現flag.php中似乎有蹊蹺,最后一個cipher的值很奇怪,懷疑是加密的,試試解密,不成功,上面那個變量c提示我們flag不在這里。。。。。
根據其他wp得知,flag在js的修改處
我們在kali linux上使用diff來對比兩個文件
diff的用法(https://blog.csdn.net/zhangmeimei_pku/article/details/79483324)(這里其實不用看那么多,直接diff就行了)
flag{82efc
37f1cd5d4
636ea7cadc
d5a814a2
發現flag
flag{82efc37f1cd5d4636ea7cadcd5a814a2}