web 9
首先把环境下载下来,然后,界面是这样子
给了你用户名了,没有密码,惯性思维使我认为是sql注入,那我就试着做了一下,可是都没有回显,不知道是啥问题。或许是过滤了?还是怎么样。反正就是回显不了。
那我就扫描一下目录吧,拿出我们的dirsearch扫它一手: python dirsearch.py -u 网址 -e php ,利用这个命令就可以扫描了。
发现了,一个robots.txt文件,访问一手。
发现index.phps,确定源码泄露。访问index.phps下载源码
1 <?php
2 $flag="";
3 $password=$_POST['password'];
4 if(strlen($password)>10){
5 die("password error");
6 }
7 $sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
8 $result=mysqli_query($con,$sql);
9 if(mysqli_num_rows($result)>0){
10 while($row=mysqli_fetch_assoc($result)){
11 echo "登陆成功<br>";
12 echo $flag;
13 }
14 }
15 ?>
这便是源码。大家可以发现,第七行的这段代码: $sql="select * from user where username ='admin' and password ='".md5($password,true)."'"; sql查询,我们看查询条件,用户名是admin,密码是利用md5加密后的结果,
语法:md5(string,raw)
| 参数 | 描述 |
| string | 必需。规定要计算的字符串。 |
| raw |
可选。规定: TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数 |
将密码转换成16进制的hex值以后,再将其转换成字符串后包含'or’xxxx
这样,条件就成了username ='admin' and password =‘ ’or 'xxxxx'。对语句进行了闭合,其实就是拼接成了万能密码。
看了大佬的博客,得来了字符:ffifdyop
输入此字符串即可获得flag