考点:冰蝎jsp流量解密+crc碰撞+png暴力爆破宽高
主要是和 main.jsp进行通信浅浅看一下 yjg.txt内容
用jsp写的一些脚本

过滤http流量

可以判断是 冰蝎 的jsp webshell
尝试爆破常用密钥 无果
那么 密钥一定在流量中

看冰蝎动态生成密钥的最后一个返回包 就是明文的key
尝试多试试 解流量包返回的java class进行反编译
可以发现 存在多个请求有类似写入添加操作
将 文件分段传输

public static String mode = "append";

public static String path = "/usr/local/tomcat/flag.zip";

public static String content = "qUu1tlUZVa+MgCpA6Y7oDO42xWR2ioZj2YhBa0DzoVzofXuGsvduoZiDaez6WPE1XlMd8i9nUahdU/Nxy8PlU1oCfp+p3idlFC4sPYKmTpSvt2txUiTBQQbIPAZcfIAhrT2NUj3Oz3qEapxQjy0N34H07i1j+qRMaKEmiwroPWyyzUeXwbprGBeV+jsX/e0t9o4ekm1zOKIepZzXq/pTV+S6YGPC0fwLDu8RSyUD4kb3O5B4+mqdrEraOWs6itgMt3emBsgqK95mcp4AO0nOUDSoXLQBoGDXF2ZbyZ2z0c2jIqCVngI+fwKJ8CTp0L/1jNqITm+3jbOQ/nd6PWz8HpKqX3Lyl83RpaZCd+9Dop5O+dIGDzsG0RYfXzAtOwXxw7gdsh3D0HXUxh.....

可以提出来zip

文件pwd 命名连续 而且 原始大小比较小 肯定要考虑CRC32爆破了
注意这道题分别对应的是 5,4,4,6bit碰撞
推荐 https://github.com/theonlypwner/crc32
可以拿到 pwd

ICTF_so_Intrest1ng
解压得到flag.png

png暴力爆破高宽就是flag