记一次WP

浮躁的很想笑...

今天看到聪哥发了一道题：

一开始我以为是16进制的html_entities，然后解密了一下发现：

我还开脑洞以为地址是：HaIhCwHcpCCHtmCwPtAsewGea

结果发现不对，然后在这卡了好久，然后le3d1ng师傅说把x替换为空，替换完了以后得到：

YTc0ZTg1ZDZjMWQ0Z
mFlZjc0YW&#74mZWRlM2
JhZTIwMzA=

然后unicode转ascii得到：

YTc0ZTg1ZDZjMWQ0ZmFlZjc0YWJmZWRlM2JhZTIwMzA=

很明显的base64加密，再进行解密得到：

a74e85d6c1d4faef74abfede3bae2030

然后通过MD5解密得到：

即为最后答案，打开得到了不知道哪位师傅的wechat，加上准备py。

不死心的发现直接访问IP是第一关，就想从头打一遍。

第一关

发现是让输入什么东西，想右键查看一下代码发现不能用，所以：

view-source:http://134.175.84.69/

可以得到：

直接得到了下一关的地址。

第二关

和上一次一样，先看源码：

得到一个js文件，

    function testKey(){
        var a=document.getElementById("password");
    if(a.value == "wazhp"){
        t="71,111,71,111,71,111,58,92,99,97,114,99,97,114"
        t=eval("String.fromCharCode("+t+")");
        alert(t);
    }
    else{
        alert("输入的内容不对！请重新输入");
    }
    }

这里可以得到密码。

得到下一关地址。

第三关

文件上传题目，查看代码可知是通过js进行后缀名校验，再看upload.php中提示：

所以我们打开burp绕过js即可，

然后发现并没有这么简单，这里服务器端还对文件头进行了校验，所以修改一下文件头即可。

得到下一关地址。

第四关

我们先判断是不是user-agent判断的，首先删除user-agent。

这里连真实路径都爆出来了，也佐证了他是通过HTTP_USER_AGENT来验证浏览器版本的，所以我们修改一下可以看到页面变为了：

这里我们同样猜测是通过HTTP_ACCEPT_LANGUAGE进行校验的，我们删掉之后果然报错了：

所以

得到最后一关文章开始处的地址：