CTF日记之 “百度杯”CTF比赛 十月场 GetFlag

CTF日记：“百度杯”CTF比赛 十月场 GetFlag

---

打开题目，看到一个被嘲讽的界面，然鹅自己并不是单身狗。。。正常思路，查看源码，发现正常，之后点击login：

还是先查看源码，发现有没有疏漏什么东西，发现一切正常，在进行抓包看看有没有什么疏漏的东西，发现也一切正常，下面开始把关注点放在这个页面上面。正常的登录框，再加上一个验证码，这个验证码的意思是：一个数的md5值的前六位是afce73，那我们就进行爆破计算：
python脚本

import hashlib
i=1
while True:
    hex=hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if  str(hex)[0:6]== 'afce73':
        print('captcha:',i)
        break
    else:
        i+=1

爆破出来的结果为：42391425
然后，在考虑登陆框中的username和password能否注入，尝试admin’#,password随意填写，发现居然进来了！
进来之后发现了三个文件，依次下载打开后发现：
只有a.php有点用：（他告诉我们，flag在web的根目录，吼吼😀）

同时我们通过抓包可以看到，下载文件的路径：

然后将url路径改成/Challenges/file/download.php?f=flag.php发现什么也没有，然后换成/Challenges/file/download.php?f=…/flag.php，发现：
再次尝试/Challenges/file/download.php?f=/var/www/html/Challenges/flag.php，发现得到了flag.php的源码

<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
		die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
		 eval("\$spaceone = $f");
}
catch (Exception $e)
{
		return false;
}
if ($spaceone === 'flag'){
	echo file_get_contents("helloctf.php");
}

?>

源码中提示：post方式提交flag参数，而且出现’`’, ‘$’, ‘*’, ‘#’, ‘:’, ‘\’, ‘"’, “’”, ‘(’, ‘)’, ‘.’, '>'都会被替换成空格，，而且参数的长度必须小于13且参数中不包含return的字符串，才能执行eval函数。
执行了一个eval()函数，要在代码末尾添加分号来结束一行代码，所以传入参数要带一个分号，进过eval()函数后分号被去掉
所以flag的参数为flag；进行尝试：

查看源代码：

吼吼😀，每天最开心的就是看到flag！！！