Nova

做题累不累,看个视频放松下吧,请用 Chrome
传送门: http://207.226.143.203/

題目給了一個連結, 看起來是轉址服務, 試了一下id參數發現有下面幾種情況:

http://207.226.143.203/1.php => 123.txt (廢文一篇)
http://207.226.143.203/1.php?id=1 => 1.mp4 (百度網盤)
http://207.226.143.203/1.php?id=2 => 2.mp4 (百度網盤)
http://207.226.143.203/1.php?id=3 => 3.mp4 (百度網盤)

不斷的嘗試還會發現
http://207.226.143.203/config.php => 什麼都沒顯示

卡關許久, 隊友發現 1.mp4, 2.mp4, 3.mp4 結尾居然有 base64 編碼過後的字串...
合併後還原發現是一個 rar 的壓縮檔

暴力破解發現密碼是 Blizzard (B還是大寫)
解開後可以看到 1.php 的原始碼
改一下 User Agent 後就可以 SQL Injection 了

原始碼:


php
<video controls='controls" autoplay="autoplay">
<?php
error_reporting(0);
include('config.php');
$id = $_GET['id']
if($_SERVER['HTTP_USER_AGENT'] !== "Blizzard_client")
{
$id = (int)$id;
}
$sql = "select name from view where id =".$id;
$r = mysql_query($sql);
$result = mysql_fetch_array($r);
echo '<source src="'.$result['name'].'" type="video/mp4"/>;
?>
</video>
`

改 User-Agent:

拿到 flag: