永不落的梦想

MD5碰撞，使用工具fastcoll生成内容不同但md5值相同的两个pdf文件上传即可获得flag；上传2.pdf和3.pdf，获取到flag；

sql无列名注入；提示查询username参数，flag在flag表中；传参测试发现，union select 可用，空格被过滤可以使用/**/代替 ，or也被过滤了且无法大小写、双写等绕过，导致无法查询flag表里的字段名，需注意flag在flag表中并不是flag字段，直接联合查询flag表的flag字段查询不到flag，因此就可以想到sql无列名注入，只需知道表名不用知道字段名即可查询字段的数据，payload如下；无列名注入获取flag表中数据；

进入容器有个输入框，尝试ssti、命令执行、代码执行等，最后发现可使用反引号执行命令；输入 `nl app.py` 可查看源代码，有功能具体实现、过滤之类的；flag在 /flag_is_here home/flag_c0w54y 中，执行命令获取flag；

php反序列化，源码如下；B::__destruct()作为开头，调用A不存在的变量，触发A::__get()，调用Fun不存在的方法，触发__call的回调函数执行phpinfo，flag在phpinfo中；

5分钟左右，点击停止可生成无加密的压缩包 attachment_decrypted.zip，打开其中photo.txt文件，发现是图片的base64编码，将其转换为图片，获得flag；下载附件，有一张图片和一个压缩包，压缩包中的图片与压缩包外的图片是一致的，结合题目名，猜测是明文攻击，将图片压缩与压缩包一起放入ARCHPR中进行明文攻击即可；下载附件secret.jpg，根据提示发现是steghide隐写，弱密码123456；结合题目名与描述，字符串为密文，lsb中的为希尔密码的密钥，解密即可；