根据题目提示
访问站点发现为后台登陆界面,发现用户名输入会返回值怀疑可以进行注入
发现此过还滤了or 构造过滤语句
一般的登陆表单的字段名按照经验来讲一般很段,尝试用union联合查询语句进行猜解字段
发现此页面有有过滤规则,还有点击提交是几秒后会刷新页面
发现过滤了空格,union,select等,构造过滤语句
因为页面提交会刷新页面所以burp来进行注入
通过多次尝试判断为字段数为3,并且2的位置是显位
进行爆库
得到库名为xiaowei
爆表名
admin
发现or给过滤了
重新构造语句绕过过滤规则
爆列名
Id、username、password
爆值
得到账号信息
用户名:goodboy_g-60Hellowor
密码:ajahas&&*44askldajaj
正确
还有一个畸形验证码
3秒算出式子,并提交!!!
编写脚本,计算并提交
得到连接以及后面的密文
连接下载附件并解压
代码审计得到压缩文件里加密后的flag
进行解压
VmH0wW3DZalBnmmSalV1SYSGRr1r3jVYcFrHWkUUlhljkFzCbXaEKyaVJymT1FlVTVskVWhGtonaGU2WWGhVXYol1WVI1F2odFuk
得到flag
修改文件为txt或者为txt文本打开
题目源码:subject.zip (5.4 KB)
备注:申请Wiki账号