VID
首先访问页面,没啥东西,看下源码,看到提示信息,一个index.php.txt文件,访问一下。
跳转到了另一个有意思的页面,这里是一个Vulcan Logic Dumper,php输出中间代码的过程,这里我们可以看到一个php脚本执行时候的整个过程,这里我们看到当通过get方式传递3个参数flag1,flag2,flag3分别为 ‘fvhjjihfcv’,’gfuyiyhioyf’ ‘yugoiiyhi’时,页面会返回the next step is xxx.zip。并且看到传递着三个参数的页面是index.php!
于是跳转到该页面并通过get方式传递三个参数
于是访问这个1chunqiu.zip,将其下载下来,发现里面是网站的一些页面的源码
于是做了一些无聊的代码审计,发现在login.php中存在sql注入,用的addslashes函数过滤,并且是utf-8的编码,那就不存在宽字节绕过了,怎么办呢,在url编码中有个很特别的存在%00,%00在经过过滤后会变成\0,通过代码审计我们可以知道参数number的值会将参数username中对应的值替换为空值,那么我们将number传递一个0,那过滤后的语句就成了\’,单引号成功逃逸(这里是post传参,所以我们抓包修改,比较方便)
通过sql注入爆出当前数据库下表名,发现一张叫flag的表,爆出表内容,成功取得flag
3512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
