CTF日记:“百度杯”CTF比赛 十月场 GetFlag
打开题目,看到一个被嘲讽的界面,然鹅自己并不是单身狗。。。正常思路,查看源码,发现正常,之后点击login:
还是先查看源码,发现有没有疏漏什么东西,发现一切正常,在进行抓包看看有没有什么疏漏的东西,发现也一切正常,下面开始把关注点放在这个页面上面。正常的登录框,再加上一个验证码,这个验证码的意思是:一个数的md5值的前六位是afce73,那我们就进行爆破计算:
python脚本
import hashlib
i=1
while True:
hex=hashlib.md5(str(i).encode('utf-8')).hexdigest()
if str(hex)[0:6]== 'afce73':
print('captcha:',i)
break
else:
i+=1
爆破出来的结果为:42391425
然后,在考虑登陆框中的username和password能否注入,尝试admin’#,password随意填写,发现居然进来了!
进来之后发现了三个文件,依次下载打开后发现:
只有a.php有点用:(他告诉我们,flag在web的根目录,吼吼😀)
同时我们通过抓包可以看到,下载文件的路径:
然后将url路径改成/Challenges/file/download.php?f=flag.php发现什么也没有,然后换成/Challenges/file/download.php?f=…/flag.php,发现:
再次尝试/Challenges/file/download.php?f=/var/www/html/Challenges/flag.php,发现得到了flag.php的源码
<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
eval("\$spaceone = $f");
}
catch (Exception $e)
{
return false;
}
if ($spaceone === 'flag'){
echo file_get_contents("helloctf.php");
}
?>
源码中提示:post方式提交flag参数,而且出现’`’, ‘$’, ‘*’, ‘#’, ‘:’, ‘\’, ‘"’, “’”, ‘(’, ‘)’, ‘.’, '>'都会被替换成空格,,而且参数的长度必须小于13且参数中不包含return的字符串,才能执行eval函数。
执行了一个eval()函数,要在代码末尾添加分号来结束一行代码,所以传入参数要带一个分号,进过eval()函数后分号被去掉
所以flag的参数为flag;进行尝试:
查看源代码:
吼吼😀,每天最开心的就是看到flag!!!