HGAME 2019 Week1

两周前的题目了,比赛进行到第三周了,第一周的还是很友好的简单记录下。

1、web1 谁吃了我的flag

根据提示,想到vim编辑器文件泄露,访问.index.html.swp下载得到泄露的文件。利用命令 vim -r 恢复源码:
1.png
flag:hgame{3eek_diScl0Sure_fRom+wEbsit@}

2、web2 换头大作战

打开链接是一个输入框随便fuzz一下:
2.png
要求POST传参,把GET参数POST传入:
3.png
伪造IP、修改UA、referer、cookie:
4.png
flag:hgame{hTTp_HeaDeR_iS_Ez}

3、web3 very easy web

得到源码:

<?php
error_reporting(0);
include("flag.php");

if(strpos("vidar",$_GET['id'])!==FALSE)
  die("<p>干巴爹</p>");

$_GET['id'] = urldecode($_GET['id']);
if($_GET['id'] === "vidar")
{
  echo $flag;
}
highlight_file(__FILE__);
?>

把vidar url 编码两次就可以绕过:
5.png
flag:hgame{urlDecode_Is_GoOd}

4、web4 can u find me?

查看源代码:
6.png
要求POST password ,抓包发现password:
7.png
提交后发现会跳转,提示太快,抓包看下,得到flag:
8.png
flag:hgame{f12_1s_aMazIng111}