先总结一下吧,第一个就是多尝试,不要怕,然后就是细节。
打开页面,显示 This is a mini file manager, you can login and download the files and even get the flag。
先进入显示登录框,并且验证码经过md5加密,应该需要碰撞。
扫一下目录,没什么发现。开始测试sql注入,验验证码先随便输个,发现居然没有反馈。可能是验证码不对?,但是每次md5都要刷新,这是想让我测试一下又要爆破一下吗?
写个脚本爆破一下。
import hashlib
captcha = "1889de"
for i in range(1, 1000000000):
hash = hashlib.md5(str(i).encode()).hexdigest()
if hash[0:6] == captcha:
print(i)
得到验证码,先来个admin' or 1=1#再说。然后直接登录成功了。。。
有3个文件,有一个a.php说,flag在网站根目录下。直接访问flag.php,没有发现,在尝试一下php://filter读取flag文件,失败。
然后想到一开始的download the files and even get the flag,可能可以直接下载flag文件。抓包,然后将?f=a.php改成?f=../flag.php,发送。返回flag{wow!!!but not true}。
在尝试下绝对路径在linux中绝对路径是/var/www/html。
?f=/var/www/html/Challenges/flag.php。得到flag.php源码
<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return'))){
die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try{
eval("\$spaceone = $f");
}
catch (Exception $e){
return false;
}
if ($spaceone === 'flag'){
echo file_get_contents("helloctf.php");
}
?>
大概意思就是,flag页面,接收一个flag参数,先进行str_replace,将一些字符替换为空,长度不能大于13。然后测试传进来的flag参数的值是否为flag。
在flag页面post参数flag=flag,发现没有返回,拉闸拉闸,去看了下wp。
说eval函数做了异常处理,直接提交flag=flag会产生异常,而提交flag='flag'或flag="flag",引号会被过滤,用PHP字符串的表示方法,叫做Heredoc。
做了异常处理,但是提交flag=flag会产生异常,是什么鬼。不过既然是eval这有问题,去查了下eval函数。如下:
eval() 函数把字符串按照 PHP 代码来计算。
该字符串必须是合法的 PHP 代码,且必须以分号结尾。
如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。
重点应该在这,必须以分号结尾。提交flag=flag;。可以看到在审查元素那,注释了flag。
