i春秋登录

打开是个普普通通的表单提交网页

查看源码,没什么东西

抓包试试再

没找到什么有用的信息

尝试注入

用户名admin’ or ‘1’=’1 密码随便输

弹出密码错误

再试试admin’ or ‘1’=’2

弹出用户不存在

说明这里存在注入点,而且是盲注

构造payloadadmin' or user() regexp '^a'%23 (使用java的正则表达式来进行盲注,用#url编码%23来注释掉后面的内容)  密码随意

 

 

然后传入intruder中进行爆破

①clear掉其他的变量,对a加上变量

 

 

payloads中选择add from list添加a-z,A-Z,0-9的字典

 

 

 

 

开始爆破,发现两条回显长度不一样的字母,说明第一位字母为u(或U

 

 

payloads的positions中,在变量$a$前添加刚刚爆破出的第一位字母u进行爆破第二位

 

 

爆出第二位是s

 

 

依次爆出user()的全称为user

就可以使用这种方法依次爆出表单中username对应class的字段

 

 

 

 

最后爆出来是bctf3dm1n)

再是密码(爆出来是2bfb1532857ddc0033fdae5bde3facdf)

这是md5加密的,一看这么长就不对劲,md5解密出来是adminqwe123666

 

 

然后拿去登录

 

 

看到三个文件名

第一个文件很奇怪

.bctfg1t的格式

又根据提示这道题有缓存,隐藏文件

尝试githack下载试试(我用的gtihack拓展版:https://github.com/gakki429/Git_Extract)

 

 

 

 

下载下来有个flag.php打开试试

 

 

告诉我们flag不在这里,但是flag就在git

修改另一个带有flag名字的历史文件后缀为php,将其打开

 

 

发现他告诉我们下一个文件

 

 

直接访问,得到flag

 

posted @ 2019-09-16 15:56  七星易  阅读(562)  评论(0编辑  收藏  举报