- 进入页面,发现一个页面,查看源代码没有注释的提示。
- 进入登陆发现是md5前几位截取。用我的submd5.py 找出可以用的验证码
- 在burpsuite里面用万能密码尝试登陆一次。 1‘ or 1=1 #
- 发现成功登陆后会跳转一个页面
<script>alert("Welcome 1' or 1=1 #!");window.location.href="./action.php?action=file";
</script>substr(md5(captcha), 0, 6)=5250e1<div class="box"><b>Captcha: </b></div>
- 先不急着进入这个页面先看看注入能达到什么成功。
- 注入 order by 3 4 有区别。 注入到union select 1,2,3 就怎么也成功不了。看来有一些过滤。
- 不费劲了,转去上面的跳转页面看看。
- 发现能下载三个文件。
- 下载后除了a.php有个 echo "Do what you want to do, web dog, flag is in the web root dir"; 提示外其他两个没用。
- root这个坑我还是以为管理员用户的目录呢。原来是网站根目录。
- 怎么进入根目录呢,我们观察我们下载连接的时候的url
GET /Challenges/file/download.php?f=a.php HTTP/1.1
- f= 指定文件就行了,可能没有过滤。既然是根目录试试/var/www/html/flag.php,就返回一个200 ok 这里我又踩了个坑, 应该是/var/www/html/Challenges/flag.php
- 得到一个php文件。
- 看一下
<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
eval("\$spaceone = $f");
}
catch (Exception $e)
{
return false;
}
if ($spaceone === 'flag'){
echo file_get_contents("helloctf.php");
}
?>
- 所以往Challenges/flag.php 用post方式传一个flag=flag;就得到flag了。
为什么呢很奇怪。 - 测试这个方法的可行性。
$f='flag;';
eval("\$spaceone = $f");
echo $spaceone;
$f1='flag';
eval("\$spaceone = $f1");
echo $spaceone;
$f2 = 'flag;';
\$spaceone=$f;
echo $spaceone;
- $f会输出flag $f1会输出null $f2会报错
- 这并不能说明什么,因为
f没什么本质区别。后来我用assert测试发现$f1也可行。
- 思考assert和eval的区别--assert会执行一个字符串,而eval需要执行一个语句。即assert('phpinfo();') 加不加;都行。 而eval必须的eval('phpinfo();')才行. 所以flag后面加个;
eval会认为其是个语句。即认为是语句的时候,\就被当成了一个转义字符。 -
第二种解法
flag= 以下
<<<s
flag
s;
四个换行是必须的。还必须换成URL编码。。。。
