- 为什么要写 2014 年的题的 writeup:因为在做某 CTF 训练平台的题
首先题目给了一个附件,叫做 web100.zip,解压后就是一个 web100 文件
记事本打开是这样的:
大部分看得懂,大部分是框框,看到有 script,function 字样,猜测是 php 代码,拖到浏览器中看一看:
一个输入框,此时看到末尾是一个执行的 eval 函数:
我们把它改为显示 alert 再拖进来看看:
欸,乱码没了,得到了 php 源代码:
我们用工具格式化一下:
代码意思很简单,用一个正则表达式,只要输入的字符串以be0f23
开头,以e98aa
结尾,中间含有233ac
、c7be9
字符串就会执行下面的函数,那么我们构造be0f233ac7be98aa
字符串回到那个输入框:
得到 flag:flag{it's_a_h0le_in_0ne}