一、靶机介绍
Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面
二、解题步骤
步骤 1:漏洞点位确认
访问目标地址:http://xxx/admin/ajax
根据靶机介绍中的提示,访问avatar.php
尝试添加?id=1,发现没有反应,查看源码
步骤 2:构造注入 Payload 读取 Flag
使用 union 联合查询读取本地文件
http://xxx/admin/ajax/avatar.php?id=-1 union select load_file('/flag')#- id=-1:用户 id 无负数,原查询select avatar from users where id=-1返回空,保证 union 后查询结果为唯一输出数据;
- union select load_file('/flag'):联合 MySQL 内置函数load_file()读取根目录 flag 文件,前后查询均为单列,满足 union 语法列数匹配;
- #:MySQL 单行注释符,注释掉 SQL 语句后续多余代码,防止语法报错。
步骤 3:获取 Flag
F12 打开开发者工具→Elements 面板,在 div 的 style 属性内提取回显内容
