flag就在flag.php中

Web1
題目地址
1.訪問題目存在一個登錄界面

2.注冊一個用戶登錄，然後會跳轉到另一個界面，會給出一些提示

3.訪問flag.php,試試可不可以得到flag

提示admin可以得到flag,然後跳轉回登錄界面,猜測這和Cookie是有關的
4.抓包

發現在Cookie裏有username，而且每一個用戶的username是不一樣的，後面的值是base64加密之後的

在登錄成功跳轉的那個頁面還有一個修改密碼的功能，就是說我們可以把amdin的密碼修改了，然後以admin的身份進行登錄
5.改包
首先得到admin經過base64加密的值YWRtaW4=,然後在burpsuite上進行改包

修改成功之後以amdin的身份登陸

在這一步剛開始以為是使用%00截斷,然後用菜刀連接得到flag，結果發現不是這樣
經過多種嘗試，得到正確的get flag的姿勢
6.本地包含flag.php文件
之前提示說flag在flag.php，現在是使用admin身份登陸，而且這裏有遠程圖片地址，那麼這裏就應該是要在本地包含flag.php

原本抓包會有附件這一行的信息，刪除掉,點擊go就會出現兩個圖片地址。訪問第一個
7.使用google訪問圖片地址

在這裏是看不到flag的，先把圖片下載到本地
8.修改後綴得到flag
因為使用圖片格式打不開，所以修改後綴為txt試試，就得到了flag