2019 DDCTF 部分writeup

网上的wp已经不少了，但wp广泛很简略。我尽可能写的详细一点。

1、WEB

滴~

拿到题目后首先右键查看源代码，发现图片是以base64传送的

并且看url发现里面应该是包含了文件名，而且用了某个编码。测试事后是转16进制ascii码后两层bases64

（解码工具是burpsuite）

 用一样的规则编码index.php，为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3，访问并查看源代码，内容就是index的源码了，再用base64解码。

在源代码里出现一篇文章，打开后发现是一篇关于echo的，我在这里绕了很长时间，觉得要用到echo的漏洞。

但正解是那个日期，要看那个日期的文章。是关于swp的：

https://blog.csdn.net/FengBanLiuYun/article/details/80913909

因此访问http://117.51.150.246/practice.txt.swp，可看到里面内容：

f1ag!ddctf.php
经过index代码，能够看到对文件名作了过滤，只能是数字和字母。这个感叹号会被去掉。但还有一句

$file = str_replace("config","!", $file);
这是为了防止读取config，会把config换成！。但这正好知足需求，访问f1ag!ddctf.php 
便可。但直接访问是空白的，因此用一样的方法读源代码

extract($_GET);这里是一个变量覆盖漏洞，让k和uid为空就能够了。

或者按正常使用，把k指向一个文件，uid和文件内容相同，也能读出flag：

以前的swp文件这里能够现成使用，不必本身搭个网站让他读。。有些wp就是本身现搭的网站，算是很鬼畜了。。

reverse

【待续】