上一篇 向吃鸡外挂站开炮(一)
前言
首先打开网站我们可以看到他的炫酷界面
![](https://img.haomeiwen.com/i20017676/aed0b6cab98b5ec4.png)
暖心公告
[图片上传失败...(image-cea3c9-1573117670522)]
不要脸的宣传词
![](https://img.haomeiwen.com/i20017676/5401c11ef01b4bb9.png)
发现注入
基于tp3开发,后台/admin
![](https://img.haomeiwen.com/i20017676/f10633bd1b1a5448.png)
尝试万能密码
![](https://img.haomeiwen.com/i20017676/32316eb6fa7c3ddb.png)
提示密码错误
![](https://img.haomeiwen.com/i20017676/e2ff77ac798b3018.png)
尝试admin admin888 提示账号不存在
![](https://img.haomeiwen.com/i20017676/2fa1a7a08ff6694a.png)
两者回显不同,考虑可能存在注入
无法利用?
burp抓包发送到repeater进行进一步测试
发现条件为真时返回status: -2
,条件为假时返回status: -1
![](https://img.haomeiwen.com/i20017676/21d80f589fd11964.png)
![](https://img.haomeiwen.com/i20017676/50b56670921e8d60.png)
进一步印证了猜想,后台存在注入
扔到sqlmap跑
![](https://img.haomeiwen.com/i20017676/f5cabae8ea80545d.png)
无法检测出注入,提示一堆404 not found
开始以为是cdn封锁了sqlmap的流量,后来发现根本没什么防护。。。虚假的cdn
于是考虑可能是cms自身过滤了一些东西
绕过过滤
经过测试发现只要出现尖括号就会返回404
![](https://img.haomeiwen.com/i20017676/9d19d8f5cfacb43a.png)
![](https://img.haomeiwen.com/i20017676/6f1e0cbdc5f94c39.png)
可以用between来绕过
![](https://img.haomeiwen.com/i20017676/4d152e94610fd7b6.png)
![](https://img.haomeiwen.com/i20017676/b152c36a87a47e83.png)
这时就继续按照 条件真=>-2 条件假=>-1 来回显
也就满足了盲注的条件
忽然一想这个情景跟第五空间决赛的那道注入题一毛一样
真返回一个页面 假返回另一个页面 出现被过滤字符返回其它页面 并且要用between来绕过
CTF诚不欺我
所以只要在sqlmap的参数里加上--tamper=between
即可
![](https://img.haomeiwen.com/i20017676/52ceeca9f8738b4e.png)
最后
数据库里管理员密码用的aes加密,没有秘钥,无法解密。
普通用户登录口被关闭,无法注册也无法登录。
除了脱出来一堆孤儿的信息其他也没什么用
打包一下证据,全部提交有关部门。
网友评论