image.png 主要是和 main.jsp进行通信 浅浅看一下 yjg.txt内容 image.png 用jsp写的一些脚本 image.png 过滤http流量 image.png 可以判断是 冰蝎 的jsp webshell 尝试爆破常用密钥 无果 那么 密钥一定在流量中 image.png 看冰蝎动态生成密钥的最后一个返回包 就是明文的key 尝试多试试 解流量包返回的java class进行反编译 可以发现 存在多个请求有类似写入添加操作 将 文件分段传输

public static String mode = "append";

public static String path = "/usr/local/tomcat/flag.zip";

public static String content = "qUu1tlUZVa+MgCpA6Y7oDO42xWR2ioZj2YhBa0DzoVzofXuGsvduoZiDaez6WPE1XlMd8i9nUahdU/Nxy8PlU1oCfp+p3idlFC4sPYKmTpSvt2txUiTBQQbIPAZcfIAhrT2NUj3Oz3qEapxQjy0N34H07i1j+qRMaKEmiwroPWyyzUeXwbprGBeV+jsX/e0t9o4ekm1zOKIepZzXq/pTV+S6YGPC0fwLDu8RSyUD4kb3O5B4+mqdrEraOWs6itgMt3emBsgqK95mcp4AO0nOUDSoXLQBoGDXF2ZbyZ2z0c2jIqCVngI+fwKJ8CTp0L/1jNqITm+3jbOQ/nd6PWz8HpKqX3Lyl83RpaZCd+9Dop5O+dIGDzsG0RYfXzAtOwXxw7gdsh3D0HXUxh.....

可以提出来zip image.png

image.png 文件pwd 命名连续 而且 原始大小比较小 肯定要考虑CRC32爆破了 注意这道题分别对应的是 5,4,4,6bit碰撞 推荐 https://github.com/theonlypwner/crc32 可以拿到 pwd ICTF_so_Intrest1ng 解压得到flag.png image.png

png暴力爆破高宽就是flag

image.png