打开页面 就一个登陆框
泪流满面 终于是sql注入了
首先 admin:admin 看看正常的返回
看看源码
发现有token 那就不能用burp的repeater了 (所以不是图文 233 将就着看吧)
测试 ':' 两个单引号 没有任何回显 按老外的话说 Strange behavior!(说人话就是 有注入!)
fuzz一下发现 ;%00 # 和 连减号加空格有回显 也就是成功注释了
但是 admin'#的时候 又没有回显了 Strange behavior again
这里的问题在于按照正常的后台语句要么选出用户名和密码类似
select * from admin where name=$name and pass=$pass
要么选出用户名
select id,name,pass from admin where name=$_POST[name]
然后比对md5(pass)
这俩种 在admin'#的时候 都应该正常回显 想了下
测试a'# 成功回显 心想 总不会过滤admin吧 = =
继续测试出字段数为4 输入
a’ union select 1,2,3,4#
又没有回显 .. (脑补一脸懵逼的表情) 换成null也不行 看来是过滤了union select
于是准备写脚本盲注 但是想想有token啊=.= 然后就看到了这个
沃日 敢不敢字体再小一点(眼癌晚期)
接下来就简单了 查库 查表 查字段 最后
a' union select 1,2,(select concat(username,0x3a,password) from user ),4#
admin:catchme8
还以为是道400分的水题 然而..
用word生成的pdf怎么都是上传格式不对 最后发现application不对..
点help.pdf 文件未找到 尝试读取index.php也不行
ping 页面试了 & $ | %0a ;
还有反引号 都不行
看看题目的页面 应该是让读取源码 然后命令注入 或者上传 然而怎么都读不到页面
后来基友发现../index.php可以读取 = = 脑洞给跪
最后在index.php里 的一个error文件里 读取到了flag(给出题人跪了)
SharifCTF{0dd185ab0a7077439b31c7c1e79c25dd}