BUUCTF Web [极客大挑战 2019]Havefun

[极客大挑战 2019]Havefun

一、题目简介

二、思路分析

1）信息泄露

2）代码功能审计

三、解题过程

1）查看页面源代码

2）提交参数

四、总结

一、题目简介

进入题目连接以后，出现了一只「猫」，普普通通的一只猫，没什么特别的功能。

二、思路分析

1）信息泄露

这一关是「信息泄露」漏洞，页面源代码的「注释」泄露了后端的部分源码信息。

2）代码功能审计

核心「代码」如下，接下来简单分析一下代码的功能

首先通过Get请求获取「参数」cat，我们需要在url中传递一个名字叫 cat 的参数

而后是一个条件「判断」，如果参数的内容是 dog ， 则会「输出」一段内容，这个输出的内容就是flag

三、解题过程

1）查看页面源代码

在撸猫的页面右键查看「页面源代码」，鼠标滑动到源码页面的最下方，找到泄露的注释信息

2）提交参数

在图片界面（不是源码的页面）的url中拼接参数，参数的内容是 dog，payload如下：

?cat=dog

页面中会返回一个flag，提交即可过关

四、总结

喜欢一个东西首先要先学会「尊重」，虽然网络安全的圈子不乏各种灰产，以及高调宣传自己是黑客的脚本小子，但不可否认，这个圈子仍有不少人保持着「举世皆浊我独清，众人皆醉我独醒」的心态，努力磨砺技术，提升自身修养，让互联网变得更加安全