PORT51(curl)
LOCALHOST(伪造ip)
Login(SQL注入)
神盾局的秘密(base64编码+反序列化)
IN A Mess(代码审计+过滤空格SQL注入)
admin(robots.txt+cookie欺骗)
[61dctf]babyphp(Git泄露+代码注入)
Easy Gallery(文件上传、%00截断)
Simple Injection(过滤空格SQL注入)
RE? (mysql的UDF用户自定义函数)
flag在管理员手里(Hash长度扩展攻击)
api调用(XXE漏洞)
PHPINFO(SESSION反序列化)
wp:
https://www.jianshu.com/p/2ea63715fc65
Simple Injection
页面存在两种报错,用户名错误和密码错误
输入username=admin'
返回密码错误,说明’#没有被过滤
输入username=admin' and 1=1#
用户名报错增的空格和and可能存在过滤,输入username=admin'/**/and/**/1=1#
,结果发现页面返回密码错误,即可确定,服务器只过滤了空格。
说明是页面有回显的盲注。布尔盲注。
方法一:
页面存在两种报错返回结果,用户名错误和密码错误,而且输入除admin外的用户名均提示用户名错误,所以可以肯定admin一个用户,进而猜测它的处理逻辑可能为:通过输入的username作为where条件查询密码,如果存在且查询结果与输入的密码相同即爆flag,如果不匹配则返回密码错误,而如果不存在查询结果就报用户名错误。逻辑代码类似于下面:
$res = query(select password from user where username=$_POST['username']);//query函数为了简便瞎写了
if($res) //查询返回结果不为空集
{
if(fetch($res)===md5($_POST['password'])){ //fetch函数为图简便,也是瞎写的。
echo $flag;
}
else{ //密码不匹配
echo "密码错误";
}
}
else{
echo "用户名错误";
}
于是我们可以输入一个不存在的用户名,结合union select语句手动创建一个密码作为sql查询语句的返回结果,然后密码框处输入我们创建的假密码进行绕过。
例如输入username=miracle778’//union(select(123))#&password=123,结果返回密码错误没有报用户名错误,这说明了我们这个方法是生效的,只是服务器做密码比较的时候可能用了哈希加密,这里推测用了md5加密。于是输入username=miracle778’//union(select(md5(‘123’)))#&password=123,成功
方法二:
python脚本。
参见布尔盲注部分
ps:https://mp.csdn.net/mdeditor/102914827