“百度杯”CTF比赛 十月场 Getflag

先总结一下吧，第一个就是多尝试，不要怕，然后就是细节。

打开页面，显示 This is a mini file manager, you can login and download the files and even get the flag。
先进入显示登录框，并且验证码经过md5加密，应该需要碰撞。
扫一下目录，没什么发现。开始测试sql注入，验验证码先随便输个，发现居然没有反馈。可能是验证码不对？，但是每次md5都要刷新，这是想让我测试一下又要爆破一下吗？
写个脚本爆破一下。

import hashlib
captcha = "1889de"
for i in range(1, 1000000000):
    hash = hashlib.md5(str(i).encode()).hexdigest()
    if hash[0:6] == captcha:
        print(i)

得到验证码，先来个admin' or 1=1#再说。然后直接登录成功了。。。
有3个文件，有一个a.php说，flag在网站根目录下。直接访问flag.php，没有发现，在尝试一下php://filter读取flag文件，失败。
然后想到一开始的download the files and even get the flag，可能可以直接下载flag文件。抓包，然后将?f=a.php改成?f=../flag.php，发送。返回flag{wow!!!but not true}。
在尝试下绝对路径在linux中绝对路径是/var/www/html。
?f=/var/www/html/Challenges/flag.php。得到flag.php源码

'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return'))){
        die('wowwwwwwwwwwwwwwwwwwwwwwwww');
}
try{
         eval("\$spaceone = $f");
}
catch (Exception $e){
        return false;
}
if ($spaceone === 'flag'){
    echo file_get_contents("helloctf.php");
}
?>

大概意思就是，flag页面，接收一个flag参数，先进行str_replace，将一些字符替换为空，长度不能大于13。然后测试传进来的flag参数的值是否为flag。
在flag页面post参数flag=flag，发现没有返回，拉闸拉闸，去看了下wp。

说eval函数做了异常处理，直接提交flag=flag会产生异常，而提交flag='flag'或flag="flag"，引号会被过滤，用PHP字符串的表示方法，叫做Heredoc。

做了异常处理，但是提交flag=flag会产生异常，是什么鬼。不过既然是eval这有问题，去查了下eval函数。如下：

eval() 函数把字符串按照 PHP 代码来计算。
该字符串必须是合法的 PHP 代码，且必须以分号结尾。
如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。

重点应该在这，必须以分号结尾。提交flag=flag;。可以看到在审查元素那，注释了flag。

图片.png