wowOt0u团队2014年Web挑战：PHP彩蛋与信息隐藏解密

wowOt0u团队在2014年10月4日参加的Web安全挑战赛中，面对了一个极具挑战性的题目，名为"xd2014-writeup"。这个比赛的分值最低但难度颇高，主要涉及到了XSS（跨站脚本攻击）和隐写术（steganography）两个关键技术。 首先，题目提供了一个XSS攻击场景，目标是找到被称为"大牛标记"的旗标。参赛者注意到一个名为"fuck.jpg"的图片可能隐藏着线索，但尝试十六进制解析未果。他们使用了Stegsolve.jar这款隐写术工具，将图片的十进制ASCII值解码，从而找到了关键信息：keyis:XDSec@2O14Web70。 接着，他们遇到了一道需要利用XSS技巧的题目。通过测试发现，部分字符被过滤，于是他们尝试使用特殊字符组合[]!$’“进行编码，通过jsfuck技术绕过过滤，并从网页上获取了关键字符串XsSXD$3(201X@xiD@nWeb100。在这个过程中，他们还发现了一个隐藏在二维码图片中的信息隐藏技术，即像素点最低位存储数据，但尝试了RGB的b通道后并未成功。最终，借助Stegsolve.jar，他们在bmp图片的最低位提取出了flagKey:Xd$eC@2o14Web200。 在另一个Python编写的网站挑战中，参赛者识别出存在Local File Inclusion (LFI)漏洞。他们观察到每次刷新页面时会多读取两行代码，于是编写脚本抓取整个代码并分析，最终通过URL参数操纵获取flag，flag内容为：XDCTF{X1di4nUn1vers1tySecT3AM}web150。 最后一个挑战是解密混淆后的PHP代码，参赛者借助了在线混淆解密网站http://www.zhaoyuanma.com/php，成功揭示了隐藏在代码中的恶意程序。 这个题目涵盖了XSS攻击、隐写术、代码分析以及安全漏洞利用等多个方面的技术，展示了参赛者在解决实际安全问题时的综合能力。