题目地址
http://www.shiyanbar.com/ctf/1808
思路
按照解web题的思路
1,看按流程走一遍,在提交邮箱后,会弹出一个提示,然后点击确定,会离开闪现一个界面,又跳到另一个界面,
2,这里就可以使用burpsuite进行抓包,这期间也同时把第一个页面的数据包也抓到了。
3,于是开始看这2个的页面的html源码,第一次看的时候觉得第一个页面很简单,也没有注意什么就直接看第二个页面了,第二个页面我看到的信息是,使用的submit.php对提交的数据进行处理的,于是就把submit.php放到url中试验下,http://ctf5.shiyanbar.com/10/upload/submit.php
出现提示:you are not an admin,也不知道有什么用
思路也就到了这里。。。。。。
baidu后
知识点:使用vim写的代码会产生一个.swp 的文件(这个以前也知道,但完全没想到还可以在这种地方使用!!!)
而在第一个页面的html源码中就有说明使用的是 vim
<meta name="editor" content="Vim" />
于是就把.step1.php.swp,.stp2.php.swp,.submit.php.swp都放到url中去尝试,前两个会提示找不到页面,最后一个会把代码打印出来
if(!empty($token)&&!empty($emailAddress)){
if(strlen($token)!=10) die(\'fail\');
if($token!=\'0\') die(\'fail\');
$sql = "SELECT count(*) as num from `user` where token=\'$token\' AND email=\'$emailAddress\'";
$r = mysql_query($sql) or die(\'db error\');
$r = mysql_fetch_assoc($r);
$r = $r[\'num\'];
if($r>0){
echo $flag;
}else{
echo "澶辫触浜嗗憖";
}
}
token 必须要等于10个字符和全部为0
if(strlen($token)!=10) die(\'fail\');
还得需要emailAddress
emailAddress在第一个网页源码中有个管理员的,可以试试
最终构造的url为:
http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0000000000
其实我也不知道是用submit.php还是.submit.php.swp,2个都试了下,最后使用submit.php才获得最后的flag