[0CTF 2016]piapiapia
首先打开题目得到登陆页面:
通过扫描,发现信息泄露:www.zip
查看源码发现有这几个页面:
有注册页面
而在index.php中引入了class.php页面有一个filter做过滤:
并且在update页面发现序列化函数
在profile页面发现反序列化:
有file_get_contents函数可以读取文件
有发现config.php里面有重要信息:
但flag没有出来
根据 上面的代码思路要利用,要传一个photo
来做文件名读取文件但是:
值被md5加密了不可以利用
有想到可以利用过滤字符时的替换,
将where换成hacker那么就会多出一个字符的长度空间来增加一个新的字符来覆盖photo的值让其可控
所以play:
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
还有就是对nickname的长度进行了限制所以利用 [] 绕过:
burp抓包
得到:
查看源码:
解码得到flag: