Africa battle CTF 2023

2023-06-24

赛事WP

字数统计: 308 | 阅读时长≈ 1 分钟

前言

这几天国内没有什么比赛，看一下国外的比赛吧

web

一开始做web题的时候环境一直打不开，我还以为是那边的问题，结果下午换了机场又能访问了。

Civilization

打开网站后看到这个

打开网站后看到这个
传入source后显示源码：

<?php
require("./flag.php");
if(isset($_GET['source'])){
    highlight_file(__FILE__);  
}
if(isset($_GET['ami'])){
    $input = $_GET['ami'];
    $cigar = 'africacradlecivilization';
    if (preg_replace("/$cigar/",'',$input) === $cigar) {
        africa();
    }
}
include("home.html");
?>

ok，大概意思就是在传入source后会显示源码，之后如果再传入ami的话，再进行一个正则匹配意思就是将cigar的值africacradlecivilization删除后如果还等于cigar那就进行下一步，那么可以想到双写进行绕过。传入?source=&ami=africacrafricacradlecivilizationadlecivilization即可得到flag。