审计代码,首先需要使用get方式传入user,post方式传入pass
截取变量pass的md5值的前五位赋值给pass3,之后正则匹配变量user的内容,如果匹配到则替换成空。
进入代码逻辑,如果变量a的值全等于unctf则进入下一个if语句
这条if语句判断pass3的值是否全等于66666,如果满足条件,则输出flag。
理清代码逻辑之后,我们可以知道需要绕过和满足的条件有2个,如下:
user传入的值,在经过一次正则匹配之后为’unctf‘ 变量pass传入的值。其md5值要满足前五位为66666
首先,绕过preg_match正则匹配,由于匹配到’unctf’会替换成空,由此我们可以使用双写绕过
即
user=ununctfctf
其次,编写Python脚本爆破符合md5值前五位符合66666的字符串
#coding:utf-8
from multiprocessing.dummy import Pool as tp
import hashlib
def md5(text):
return hashlib.md5(str(text).encode('utf-8')).hexdigest()
def findCode(code):
key = code.split(':')
start = int(key[0])
end = int(key[1])
for code in range(start, end):
if md5(code)[0:5] == '66666':
print (code)
break
list=[]
list.append(str(10000) + ':' + str(10000000))
pool = tp() #使用多线程加快爆破速度
pool.map(findCode, list)
pool.close()
pool.join()
在10000~10000000之间爆破,是否符合满足上述条件的数字
run一下脚本,得到满足条件的数字
pass=1004649
使用hackbar发送请求,得到flag
UNCTF{3aecda69-8712-4f66-97f0-1614cafb6d78}
【人间事,其实好坏之别,往往就只差那么一两句话,就可以好坏颠倒。气头上,多了一两句不该有的重话反话,平日里,少了一两句宽慰人心的废话好话。】
