Cyber Talents - Easy Message writeup (zh-TW)
題目資訊
- 平台: CyberTalents
- 分類: Web Security
- 難度: Easy (50 points)
- 題目連結: https://cybertalents.com/challenges/web/easy-message
解題過程
Step 1: 目錄掃描
使用 gobuster 掃描隱藏檔案:
gobuster dir -u http://[target-url]/ \
-w /usr/share/seclists/Discovery/Web-Content/common.txt
發現隱藏參數:
/?source
Step 2: 原始碼分析
訪問 /?source 獲得 PHP 原始碼:
if ($user == base64_decode('Q3liZXItVGFsZW50') &&
$pass == base64_decode('Q3liZXItVGFsZW50'))Step 3: Base64 解碼
解碼憑證:
編碼解碼工具
輸入文本 Base64 編碼
解碼 URL 編碼
解碼 輸出結果 📋 複製結果
🔄 交換輸入輸出
🗑️ 清空全部
Kevin Chen
atob('Q3liZXItVGFsZW50')
// 結果: 'Cyber-Talent'
登入帳號密碼:
- Username:
Cyber-Talent - Password:
Cyber-Talent
Step 4: 登入後發現摩斯電碼
..-. .-.. .- --. -.--. .. -....- -.- -. ----- .-- -....- -.-- ----- ..- -....- .- .-. ...-- -....- -- ----- .-. ... ...-- -.--.-
Step 5: 摩斯電碼解碼
使用線上摩斯電碼翻譯器解碼:
在线摩斯密码翻译器
在线摩斯密码翻译器,支持将文本(包含中文)编码为摩斯码,摩斯码解码为普通文本。支持在线播放摩斯码音频,下载摩斯码声音文件。文本支持所有的Unicode字符。
獲得 Flag:
FLAG(I-****-***-***-*****)
學習重點
- 目錄掃描重要性:
?source參數容易被忽略 - 多層編碼:Base64 → 摩斯電碼的組合
- 原始碼洩漏:
?source是常見的原始碼洩漏參數
實用技巧
# 其他常見的原始碼洩漏參數
?debug=1
?source=1
?view-source
?view=source