前言
這是一道非常簡單基礎的CTF題,好久都沒有遇到這種簡單的題了,讓我看到了生活的希望,對未來充滿了向往
題目鏈接:https://buuoj.cn/challenges#[極客大挑戰 2019]Havefun
(https://buuoj.cn里面web類的[極客大挑戰 2019]Havefun)
復現
-
初次試水
打開題目鏈接我們可以看到只是一個靜態頁面,就連可以點的東西都沒有
-
明察秋毫
頁面出了一只可愛的胖貓以外啥都沒有,一下子就感覺這道題不簡單呀,難道又是一道燒腦的CTF嗎?
我們再進一步去試探,右鍵查看源代碼,看看里面有沒有提示或者信息泄露什么的 -
一臉懵逼
在源代碼最后幾行中出現了可疑的注釋
<!--
$cat=$_GET['cat'];
echo $cat;
if($cat=='dog'){
echo 'Syc{cat_cat_cat_cat}';
}
-->
這是一段PHP代碼,我們以GET方式傳入cat,直接輸出cat的值,如果cat的值為dog則將直接輸出Syc{cat_cat_cat_cat}。開始我還以為Syc{cat_cat_cat_cat}就是flag,提交發現失敗了,但是這個格式和flag長得特別像,就算不是flag也可能和flag有種xx關系。我們試着傳入cat的值為dog(http://d776180d-4960-4eca-8b2a-e87c5f2f3d71.node3.buuoj.cn/?cat=dog)
結果出來的不是Syc{cat_cat_cat_cat},而是真的flag,我也是一臉懵逼呀。
總結
也許出題人就是想考一下‘聰明’人,故意寫一個假的flag把人給強制帶偏。我們在CTF比賽中要多去試探,不要為了節約一些時間而錯過了出題人給你的驚喜