qq_68581192的博客

找到output，发现里面有jpg和zip，jpg就是最开始我们下载出来的图片，所以我们点开zip，发现里面存在00000226.zip，我们将它解压一下，发现了1.txt，打开发现都是颜文字，所以可能存在颜文字加密。发现并没有什么东西，我们尝试利用kali的foremost将其分离一下，看一下是否存在其他文件，发现真的存在，且叫1.txt。由于题目中提示了，是包上flag{}，所以这里需要将SUCTF改为flag，提交即可。将密文放进最上面的框中，点击解密，发现出现flag。

发现有flag.php，且发现base等被过滤了，利用php伪协议，再通过利用iconv将utf-8编码转为utf-7编码，读取flag.php，构造payload。利用utf-7在线转换，得出flag。

我们可以在url栏进行编辑，先尝试在url后面添加/?cat，会发现没有变化。右键点击检查（或者按快捷键f12），会发现有一段PHP代码，显示如下图。cat=dog，flag会显示如下图。打开靶场会发现有一只小猫，但是点不动，显示如下图。

可以发现是与上面有不同回显的，可知是单引号注入，可以用 ’ 闭合查询语句和 or 绕过再结合 # 注释符。输入用户名1’ or 1=1#，密码1，flag显示如下图。发现显示错误，我们再试试输入用户名1’，密码1，显示如下图。先尝试输入用户名1和1"，密码1，显示均为下图。

输入gameScore=9999999999（数值大于它最开始的要求的数值就行），回车。先右键点击检查，点击Sources，将gameScore复制到Console控制台。我们直接碰到其他飞机，让游戏结束，点击一次确定之后，就会弹出flag。回到原来的游戏界面，继续玩，会发现成绩已经超过所要求的。

可能php://input被过滤，我们可以利用其他伪协议，比如php://filter来进行文件包含。当它与包含函数结合时，php://filter流会被当作php文件执行，所以我们一般对其进行编码，阻止其不执行。file=flag.php，可以猜测存在文件包含，利用php伪协议进行攻击，先查看文件，输入/?file=php://input，显示如下。点击tips，发现显示如下。

我们根据上面提示，将原url后加上/source.php?/ffffllllaaaagggg，flag就出现在最下面，显示如下。我们将/source.php换成/hint.php，发现了本题flag格式为ffffllllaaaagggg，显示如下。我们在url后面加上/source.php，进行代码审计，分析源码，发现有个hint.php，显示如下。我们鼠标右击，查看网页源代码，发现有个source.php，显示如下。打开靶场，发现是一张滑稽的表情，显示如下。

发现里面有flag文件，我们利用cat进行查看，输入127.0.0.1&cat /flag，显示如下。我们输入127.0.0.1&ls，显示当前目录的所有文件，显示如下。再让其显示根目录，输入127.0.0.1&ls /，显示如下。尝试输入127.0.0.1，发现可以ping通，显示如下。

我们把com.wm.ctf.FlagController再次传参，还需要在classes目录下，注意.需要变为/，因为这是java特性，最后需要.class。下载完成后打开发现最后有个flagcontroller。我们将post传参改为WEB-INF/web.xml。点击help，发现url存在一个叫help的文档。发现里面有一个像base64的，可以尝试解密一下。发现自动下载了help.docx，打开发现。我们利用post方法进行传参。