这次比赛和su一起打的,做了两道misc,最后69名,简单复现下比赛时没做出来的题,水子哥说做社工题的人很低能,我觉得他说的对,所以不复现社工了。
WEB
my-chemical-romance
抓包后可以发现一个Mercurial,那是一个已经失去很多人气的SCM,我们可以使用TortoiseHg克隆该网站,从历史提交记录中找到flag:
MISC
hidden_in_the_plain_sheets
网站链接是一个只有可读权限的谷歌表格:
可以发现这里有一个隐藏的表格藏有flag,但我们没有权限访问:
事实上我们可以通过正则匹配在查找和替换功能看到被隐藏的信息:
[!-}]+
现在我们知道隐藏的单元格在flag!,然后我们可以用这种方式获得单元格A1到AR1里的每一个字母.:
最后得到flag:
lactf{H1dd3n_&_prOt3cT3D_5h33T5_Ar3_n31th3r}