2023NewStarCtf [WEEK2] web 方向超详细wp（题目＋思路+拓展知识点）

1、游戏高手

这里需要修改前端js文件，用变量覆盖修改gamescore的值，使得判定为大于100000分。

如果不清楚修改js文件的具体步骤参考这个链接：

使用 firefox 运行时更改 javascript 变量值_如何修改火狐html变量值-CSDN博客

步骤：火狐找到调试器下的js文件，在里面gamescore这一行打断点（点一下347那行的开头就行），然后点击开始游戏，游戏会在打中目标的时候停在断点处，这时候点击控制台，在里面写入gameScore=99999999999然后回车，就相当于给这里的gamescore赋值了99999999999，然后点击左上角这个运行，回到调试器把鼠标移到gamescore上面看看有没有赋值成功，然后点击运行，就能弹出flag

2、include 0。0

 题目：

 <?php
highlight_file(__FILE__);
// FLAG in the flag.php
$file = $_GET['file'];
if(isset($file) && !preg_match('/base|rot/i',$file)){
    @include($file);
}else{
    die("nope");
}
?> nope

典型的文件包含题，这里过滤了base64和rot13，我用的payload是：

?file=php://filter/convert.iconv.utf-8.utf-7/resource=flag.php