[安洵杯 2019]easy_web之愚见

发布于 2020-03-12  602 次阅读


最近身边碎事比较多,也面临期末考试月,周末抽空做了这个难度不大的题目,在这个过程中转过了一些弯,也遇到了一些问题。

这道题比较实在,没有像有的题一样需要扫描,有的时候一点思路也没有了就得扫描目录,发现竟然是代码审计。

先是访问主页面,发现了url中比较吸引人眼球的地方:img参数,要敏感,应该是个base64编码之后的字符串,

[安洵杯 2019]easy_web之愚见[安洵杯 2019]easy_web之愚见

一次解码之后,格式仍然很像,继续解码,直到最后一步直接就是hex的ascii码,得到555.png,一个正常的文件名,同时我们在源代码里也看到了base64编码过的png内容,

[安洵杯 2019]easy_web之愚见[安洵杯 2019]easy_web之愚见