首页打开
经过测试发现name和code参数可控,但尝试注入没有发现注入点,于是直接扫描目录找思路
一扫描,果然有问题
目录扫描里面可以看到有一个/.DS_Store的文件,DS_Store是Mac OS的特定文件标识。在 Mac OS X 系统下,几乎绝大部分文件夹中都包含 .DS_Store 隐藏文件,
这里保存着针对这个目录的特殊信息和设置配置,例如查看方式、图标大小以及这个目录的一些附属元数据。而在 OS X 系统中,这些文件是默认隐藏起来的,但是当我们将这些文件转移共享到 Windows 系统的时候,它们就会变成可见状态,并且看起来非常像是一些垃圾文件。
在终端窗口输入命令:sudo find / -name ".DS_Store" -depth -exec rm {} \; 按下回车之后,终端会提示用户名和密码,直接输入密码再按回车即可删除。
因此我们可以利用这个文件来还原目录信息。
可以看到还原的目录信息,猜测flag可能在flag目录下,打开一看,是空的,于是挨个打开看
在/e10adc3949ba59abbe56e057f20f883e这个目录下跳出这个页面,猜测这个目录下面还有子目录,继续扫描目录
目录扫描,可以看到在这个子目录下存在git源码泄露
git源码泄露相信大家都知道,在这里不多科普,详情百度
使用GitHack工具将源码递归下载下来,打开分析
然后打开目录下面的配置文件
可以看到配置文件里面有一个目录链接
打开过去是github上的一个项目
发现有一个压缩包,然后两个文件,都下载下来说不定有用
打开压缩包,发现是一个加密的压缩包(尝试过伪加密,发现是真的加密),
后面想到附带的文件和压缩包里面的文件名一模一样,压缩后查看CRC校验码,一样的
于是就想到明文攻击,
跑一段时间后,发现并没有找到密码,但是确实是可以解密这个压缩包的(这里我也不是很清楚),
打开已经解密的压缩包,三个文件出来了,一个hint(提示)
打开压缩包里面的hint,得到一串这样的信息
code得到了,我们拿回去传给code
得到一串字符,经过一段时间会变化一次,猜测是伪随机数
拿去通过php_mt_seed爆破随机数种子
seed得到了,然后拿到flag/目录下面以 /flag/seed.txt
获取flag
好了,成功拿到flag