线下培训基地--Web安全就业班CTF比赛（三）

VID

首先访问页面，没啥东西，看下源码，看到提示信息，一个index.php.txt文件，访问一下。
跳转到了另一个有意思的页面，这里是一个Vulcan Logic Dumper，php输出中间代码的过程，这里我们可以看到一个php脚本执行时候的整个过程，这里我们看到当通过get方式传递3个参数flag1，flag2，flag3分别为 ‘fvhjjihfcv’，’gfuyiyhioyf’ ‘yugoiiyhi’时，页面会返回the next step is xxx.zip。并且看到传递着三个参数的页面是index.php!

于是跳转到该页面并通过get方式传递三个参数

于是访问这个1chunqiu.zip，将其下载下来，发现里面是网站的一些页面的源码

于是做了一些无聊的代码审计,发现在login.php中存在sql注入，用的addslashes函数过滤，并且是utf-8的编码，那就不存在宽字节绕过了，怎么办呢，在url编码中有个很特别的存在%00，%00在经过过滤后会变成\0，通过代码审计我们可以知道参数number的值会将参数username中对应的值替换为空值，那么我们将number传递一个0，那过滤后的语句就成了\’，单引号成功逃逸（这里是post传参，所以我们抓包修改，比较方便）

通过sql注入爆出当前数据库下表名，发现一张叫flag的表，爆出表内容，成功取得flag