Sankkl1的博客

根据上图可知，页面中已经告诉我们要从flag表中的flag列取出flag，思考是sql注入。经过抓包发现发post包中的id字段是注入点。同时还发现是盲注，即当存在SQL注入时，攻击者无法通过页面或请求的返回信息，回显或获取到SQL注入语句的执行结果。由此可以通过if函数来测试flag每一位的值，以下为编写的测试脚本。经测试当输入id=1时，结果为。，发现过滤了空格、#等符号。，当id=2时，结果为。

根据题目判断出可能需要sql注入，看源码可知数据是通过GET的方式传输的，即放在url的username和password两个参数中。，password可以为任何值，即可顺利登录。只要将username输入为。

再测试，当id为1’时，无数据，而当id为1’#时，又正确返回了数据，推测构造的数据库查询语句可能是类似。查询skctf库中的表的名称，结果其中有一个表名为fl4g，很可能其中就包含了flag。查询fl4g表中的列名，发现其中有一列的名称为skctf_flag。如上图所示，当id为1时返回名字为“龙龙龙”的成绩单。我们要找到能返回能够返回我们需要的信息的位置，当。时，数据不显示，可以知道一列数据有4列。时，我们可以查询到库名，如下图所示。这样的，其中XX为传入的参数。时，可以正常显示，直到。

由代码可知我们要绕过md5加密，两数如果满足科学计数法的形式的话，php会将其当作科学计数法所得的数字来进行比较，根据该原理，如果两个md5码是0e开头且满足科学计数法的表示形式就会判断相等（只对==比较有效，===无效）。还有一个问题，那就是str_replace()函数，原代码中会将’key’给删去，所以我们要用双写绕过，将key写成kekeyy即可。经过扫描可以找到index.php.bak备份文件，下载下来后打开发现是index.php的原代码，如下图所示。于是在url最后输入?

注意到$$args，那么我们可以通过args输入一个已定义变量的名称来得到它的值，于是查询php的九大全局变量，如下表所示。

下载是一个.docx文档，用010 Editor打开查看文件头发现应该是zip文件，修改后缀后解压，查找flag。各类常用文件头如下表所示。

文件中得到一个01方阵，可以在010 Editor中高亮设置将1涂为黑色、0涂为白色，如下图所示。截图以后调整大小再加入三个定位点即可得到二维码。要注意的是定位点和内容之间有一格空隙。

在文件末尾可以看到疑似HTML实体的内容，将其解码即可得到答案。

该请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。我们可以通过伪造XFF头来假装本地登录，即在request头中加入。随意输入后可以看到需要本地管理员登录，得知这是一道需要修改XFF头的题。