CTF_Web_[极客大挑战 2019] Have fun

已于 2022-07-26 21:16:30 修改
阅读量588 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全 网络 安全 前端 php
于 2022-07-21 16:57:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52372189/article/details/125915779
本文介绍了通过分析网页源代码中的PHP注释来解决一道网络安全挑战的步骤。作者通过观察代码,发现当`cat`等于`dog`时会显示flag。在URL中设置`cat=dog`后,成功找到了隐藏的flag。文章强调了在解题过程中尝试和探索的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

让我们携手共写Writeup

1.进入题目后,我们仅看到了一张动图

从何下手?

遇到这种情况,我们该怎么下手呢?

  1. 按F12键,去查看网页的源代码有没有问题;

  2. 从代码入手:
    源代码——注释

  3. 看到以上截图中有一段注释不禁让人怀疑。于是,我们去分析这段注释。我通过查看大佬的解题思路,连接到本代码是PHP代码;尽管小编没有学习过PHP,但是大体上能看懂意思。

  4. 前两行代码说明仅简单的输出了cat的值;而后两行出现Syc{cat_cat_cat_cat}。让我们不禁怀疑类似flag,结果提交失败;

  5. 试着再分析,若cat==dogecho页面就会输出Syc{cat_cat_cat_cat}

  6. 尝试在url中写入查询串?cat=dog,按下回车,结果flag就出现在了我们面前,如下图;
    result

  7. 本道题解答成功。
    最后附上大佬提供的解题思路~https://www.cnblogs.com/g0udan/p/12236961.html.
    很喜欢大佬文章中的一句话:“要多去试探,不要为了节约一些时间而错过了出题人给你的惊喜”。感谢大家的支持!

[极客挑战 2019]Havefun
lljiuhkhk的博客
07-22 187
CTF,代码审计,web渗透,安全入门
BUUCTF web 极客挑战 2019
菜的只能随便写写博客
04-01 1927
0x01 Secret File  在源码之中得到一个php页面  后面页面之中  根据提示抓包,在其中返回的页面得到了信息  得到源码,根据源码,发现存在文件包含漏洞  利用php伪协议,获取flag.php的信息,拿取flag payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php EasyS...
BUUCTF__[极客挑战 2019]Havefun_题解
风过江南乱的博客
05-16 1701
看题 这题真的是最简单的一题了。以至于看到flag还以为是假的,毕竟吃过假flag的亏。 拿到题目,很好看 相关性F12,发现被注释的代码。 很简单的一段代码。 尝试get传入cat=dog http://e2c1cdbb-e689-45c2-ba6c-d8fddd629759.node3.buuoj.cn/?cat=dog 神奇的事情出现了,出现了一串神秘字符串。 尝试提交flag,成功,emmm。 就这?就这?就这? 最后 没什么知识点,就乐呵一下吧。 附
Buuctf-Web-[极客挑战 2019]Havefun 题解&思路总结
m0_62239233的博客
06-01 4111
网页传参。
CG-CTF-WEB(一)
Lorezon的博客
02-28 282
题目一:签到题 查看源码,得到flag: 题目二:md5 collision 给了一段代码 先转码:0e830400451993494058024219903391 百度查询一下,oe开头的MD5的对比值 传入一个a值等于240610708,得到flag 详细参考这篇文章:CG-CTF 题目三:签到2 输入zhimakaimen,发现没用,查看器看一下 最长度10位,zhimakai...
我的第一道webCTF题——一起来撸猫o(=•ェ•=)m
ZhiYilang的博客
01-08 1288
第一道webCTF题——一起来撸猫🐱o(=•ェ•=)m
BUUCTF 之 [极客挑战 2019] Havefun(GET 传参)
qq_59607911的博客
11-02 430
通过查看源码发现这是PHP的代码,上面说如果cat=dog那么它就会输出一个echo 'Syc{cat_cat_cat_cat}';我们可以发现这个格式和flag是非常相似的,因此我们就可以去构造一个cat=dog。既然什么都做不了,就只能去试试抓包和看源代码,这一题是有源码的,只需要右击页面打开源码就行了。打开连接之后会发现一个一只猫的页面,不可以点击,什么都做不了、
buuctf 极客挑战 2019]Havefun
最新发布
01-14
极客挑战 2019中的Havefun题目属于Web安全类别。 #### 题目描述 该题目涉及PHP代码执行漏洞利用[^2]。通过分析给出的代码片段可以发现存在潜在的安全风险: ```php $cat = $_GET['cat']; echo $cat; if ($cat ==...
CTF学习笔记——Havefun&easy_tornado
Obs_cure的博客
08-23 1305
一、[极客挑战 2019]Havefun 1.题目 2.解题步骤 虽然作为一个php废物,但是看到下面注释里写的明显是要提交一个get变量,而且很明显有一个dog的提示,就尝试输入一下: 成功爆出flag。 3.总结 这是第一次自己不看writeup做出来的web题,泪目。回头看了一些writeup发现这道题在给cat变量赋值的时候会显示出来,如果赋dog会出flag,但是输入其他值并没有回显,不清楚为什么。 二、[护网杯 2018]easy_tornado 1.题目 题目界面是三个文件夹,依次进入
Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 1049
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 学所有课程都结束了,接下来还有考试和其他一些安排就要毕业了。从二开始一直在说什么时候能有块空闲时间好好学学ctf,但是课程安排比较紧张,一直没得空。现在好不容易有了块时间,说开始就开始。 这次选择BUUCTFWeb题,这里题目基本都是历年各赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
第一道webCTF题——一起来撸猫
A1111143567的博客
10-17 2312
打开网址后按F12查看。 看见一段被注释掉的PHP语言。 这个 <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } --> 开始以为代码中的echo 'Syc{cat_c...
BUUCTF web题目之 Havefun
m0_54993799的博客
12-10 872
BUUCTF web题目之 Havefun
Buuctf-Web-[极客挑战 2019]Havefun
御七彩虹猫
05-13 414
Buuctf-Web-[极客挑战 2019]Havefun
[极客挑战 2019]Havefun/一起来撸猫
nive15的博客
12-05 219
简单来说,这是一个简单的条件控制结构,根据输入的cat参数的不同,可能会显示不同的信息。如果输入的是dog,那么就会显示"Syc四条猫"(因为字符串中的 {cat_cat_cat_cat} 显示了四次cat)。如果没有提供cat参数或者它的值不是’dog’,则默认只输出$cat的值。这段PHP代码首先通过$_GET全局变量获取名为cat的URL参数,并将其赋值给变量 $cat。接着有一个条件判断,如果 $cat 的值等于 'dog',则会输出字符串 Syc{cat_cat_cat_cat}。
CTF_WEB(习题)
若比邻的博客
12-15 5469
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
buuctf-Havefun
xixihahawuwu的博客
11-23 234
打开环境 查看源码时发现一段被注释掉的源码。审计下 用get传递一个cat参数 要求cat=dog 构造payload 直接得到flag
BUUCTF-Havefun
m0_47571887的博客
11-04 261
打开题目,是一只猫,貌似整个页面都没有可以点的东西, 右击查看源码看一看,在页面的最底部发现几行php代码 意思就是如果以GET的方式输出cat,则会输出cat,若输出cat=dog,则会输出Syc{cat_cat_cat_cat}。 Syc{cat_cat_cat_cat}很像flag,但提交错误,试了一下cat=dog http://8acbfb85-b79d-4b77-9b14-048b79d40884.node4.buuoj.cn:81/?cat=dog 拿到flag .
2021.3.9[极客挑战 2019]Havefun 1做题记录
qq_45832949的博客
03-10 536
打开题目链接首先看到是一个简洁的画面 页面没有任何可以操作的界面,故用F12打开网页源代码 发现了一串由PHP代码所构成的注释。 代码的意思为传入cat的值为‘cat’时,输出的值为‘cat’。 传入cat值为‘dog’时,则输出‘syc{cat-cat-cat}’;于是便尝试用GET的方式传入cat值为‘dog’(http://1ddbaf8b-0eb9-4e46-b140-18a8ca731d4f.node3.buuoj.cn/?cat=dog) FLAG便在网页中显示了。 总结 当页面无可操作的
[极客挑战 2019]Havefun1
WINDY_PACE的博客
12-02 200
[极客挑战 2019]Havefun1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾贰_Python

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值