本文讲述了在青少年CTF比赛中遇到的web、PHP后门、XXE注入和SQL注入挑战,包括如何利用MD5碰撞、PHP版本信息和XXE漏洞获取flag,以及通过密码破解解决MISC部分的谜题。
前言
这次的青少年CTF擂台挑战赛,相较于去年,我觉得,今年的web题很适合刚入门的初学者进行攻克,难度属于中等对于初学者来讲,还是需要了解一些web方面稍微深层的知识,并且做题还是需要一些脑洞。话不多说咱们开始。
WEB
EasyMD5
得到赛题:打开链接: 
发现是两个文件上传的地址;我们查看源代码:
并没有提示的点,那只能先上传个东西,看能跑出什么:
我们随便上传了一个文件,发现提示:Not a PDF! angry!!!!!! get out from my page;所以,我们就上传pdf文件,因为有两个文件上传的点,所以,都需要上传pdf文件:
这里提示我们,两个上传的文件要不一样,所以,我们就选择传两个文件名不一样的pdf文件例如:
顺利弹出回显,提示我们进行md5碰撞,相当于把两个pdf文件里面的内容变成MD5值相等的值,例如:
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
xe开头的即是科学计数法,所以0exxxxx...相当与等于0,故此两个MD5值就会相等;
最低0.47元/天 解锁文章
扫一扫
1672
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
