行くと、私たちはについて何を知って尋ねた次のレポート偽で、バルカンロジックダンパを。私たちは、ソースコードを表示し、最終的にはソースコードに私たちのindex.php.txtの存在を示唆して、あまり話をしなかった、直接アクセスしてみてください。
私たちは、まだ読んでいないことができ、コードの束を見えます
コンパイルされたコードは、(別のエッセイをコンパイルするには、私のチュートリアルを参照してくださいです https://www.cnblogs.com/wosun/p/11386434.html )
私たちは、 URL の着信会うの三つの条件のFLAG1を、2 、3 次の命令への価値
アクセスすることにより 9430505317f54f8782ae992a1caa4c8ffa855302a5464c8a.changame.ichunqiu.com/1chunqiu.zip
ダウンロードするにはジップファイルを
オープンソースは、Webページのファイルの山であります
見つかっ開くために login.phpの存在注入
ここで、ユーザー名存在にaddslashes()プロセス(単一引用符、およびバックスラッシュバックスラッシュが先行し、エスケープされるように、防衛のSQL インジェクション)、以下の単一の傷とがあります $ usernameは=(str_replace($のトリム番号を、「」、 $のユーザー名));ので、そこに注入することができます。
番号に値0は、ユーザ名に値%00 'エラーが発生した場合(00%')0がNULLに等しく、NULLの\の前に追加される処理(にaddslashes(後にaddslashes()を介しての、)である\ 0 \「)
削除 0 になります\\「は、単一引用符コメントレッツ
声明の実施の背景にはなっ =選択* from`users`whereユーザ名を「\\」 「 だから、文句を言うだろう
その後によると config.inc.phpファイル内のデータベース情報1chunqiu.zipクエリエラーフラグを取得するために、一歩一歩を行きます
ペイロード: %00'and UPDATEXML(1、SUBSTR(()フラグのフラグを選択し、1,41)、1)#
%00'and UPDATEXML(1、SUBSTR((フラグのフラグを選択し)、11,41)、1)#
結果として2つの断片を与えるために一緒に連結した旗で:
フラグ{dbb3004d-441C-46e2-9b07-588c6f75a882}