ctfshow萌新專屬紅包題writeup

題目來源：https://ctf.show/
這一題是ctfshow平臺上面2月17日更新的一個萌新紅包題，當天在官方交流群內知道晚上會有一個萌新紅包題之后，就有點期待了（小萌新也想拿一次紅包，嘿嘿），下面來看看這個題目吧。

進入題目之后，是一個ctfshow萌新登錄頁面。

首先，老規矩，先看源碼。一頓操作之后，沒有任何發現。群主在官方交流群里面先后給過幾個提示，開始第一個提示是這個題目是萌新難度，不難。于是我就去嘗試弱口令登陸了。
我最開始是嘗試用戶名admin進行登錄，我輸入的密碼并沒有登錄進去，后來想爆破，但是群主說不能爆破，于是繼續嘗試，還是沒有找到密碼。過了一會兒，我嘗試用自己ctfshow平臺的賬號登錄，也沒有用，嘗試用自己的賬號用弱口令登錄，也還是沒有用。
然后又過了一會兒， 我去看了看這個登陸頁面的響應頭，看下里面會不會藏一些東西，但是并沒有任何發現。因為過了挺久的，還沒有人做出來，于是群主放出第二個提示，用戶名admin，密碼admin888，并且在放提示之前說可能這個提示一放出來，就會有人秒了。
在獲得這個提示之后，我就去登錄了，果然登陸進去了。登陸進去之后是這樣的一個頁面。

在登陸進來之后，是一個這樣的界面，于是查看源碼，發現了一段base64字符串。

對其進行解碼之后，是這樣的一個字符串。

當時覺得這個就是一半的flag，于是繼續尋找另一半的base64。我先看的是響應頭，看看剩下的一半base64在不在里面，但是沒有任何操作。想了一會兒，把這個背景圖片下載了下來，猜可能在圖片里面。我先是把圖片拖進winhex，查看頭尾，看看有沒有base64，沒有發現，然后搜索里面有沒有‘base64’或者‘base’這個字符串，想找到另一半base64，但是沒有發現。于是關掉之后，查看圖片信息，發現里面有一段base64，終于找到了。

對其解碼，得到flag。

然后去提交，發現提交錯誤，這是一個假的flag！！！
然后呢我又根據前面的KEY是大寫，將里面的英文改成大寫，進行提交，還是錯誤。又接著嘗試了一半大寫一半小寫，還有一堆操作，全部提交失敗。
然后我根據這個KEY，嘗試以用戶名admin和我的平臺用戶名，這個假flag為密碼，各種改變密碼的樣式，進行登錄，但沒成功，甚至拿welcome作為用戶名，ctfshow密碼登錄，也還是沒有用。（心灰意冷.jpg）
當時沒有找到任何有效信息，嘗試玄學一下看看，抓個包，沒想到抓出東西了。我再次以admin，admin888登錄的時候，發現有東西了。

然后對其進行base64解碼，得到flag。

提交，正確，終于做出來了。
這個響應頭呢是登陸的時候，check.php回復的，登陸進去之后在瀏覽器里面沒看見，開始在瀏覽器的的network里面當時也沒有看到它的回復，可能是因為我登陸進去刷新了一下頁面導致的。

然后我又登陸了一次，登陸進去沒有刷新，就看到了。

總結：這真的是一個萌新題！！！怪不得群主說放出提示可能就被秒了！！！弱口令登陸的密碼admin888來源于動易默認密碼。

總結

以上是生活随笔為你收集整理的ctfshow萌新红包题writeup的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。