• 題目首先給了一個 index.rar 文件，直接可以解壓
  
• 第二個hint.txt文件，打開后提示
  
• 打開文件里面有個source.zip文件，有密碼解壓不了，點進去一看里面也有個hint.txt，嘗試明文攻擊
  
• 一開始先用WinRAR添加到hint.zip的，發現ARCHPR報錯**“在選定的檔案中沒有匹配的文件”**
  
• 后來發現直接右鍵，發送到zipped文件夾就能執行明文攻擊了
  
• 開始明文攻擊
  
• 口令獲得成功
  
• 打開解壓后的文件夾，里面有個index.php就是我們想要的源碼

<?php$re = array('and','or','count','select','from','union','group','by','limit','insert','where','order','alter','delete','having','max','min','avg','sum','sqrt','rand','concat','sleep');setcookie('injection','c3FsaSBpcyBub3QgdGhlIG9ubHkgd2F5IGZvciBpbmplY3Rpb24=',time()+100000);if(file_exists('slain.xml')) {$xml = simplexml_load_file('slain.xml');$user=$_GET['user'];$user=str_replace($re, ' ', $user);//$user=str_replace("'", "&apos", $user);$query="user/username[@name='".$user."']";$ans = $xml->xpath($query);foreach($ans as $x => $x_value){echo $x.": " . $x_value;echo "<br />";}}

• 代碼中setcookie里面有一段c3FsaSBpcyBub3QgdGhlIG9ubHkgd2F5IGZvciBpbmplY3Rpb24=用burp里面的解碼器解出**“sqli is not the only way for injection”**說SQL不是唯一一種注入方式
  
• 然后結合這兩段代碼發現過濾掉了很多SQL關鍵字

$user=str_replace($re, ' ', $user);

$re = array('and','or','count','select','from','union','group','by','limit','insert','where','order','alter','delete','having','max','min','avg','sum','sqrt','rand','concat','sleep');

• SQL注入肯定不能用了，然后中間有一段

$xml = simplexml_load_file('slain.xml');

• 查閱資料，可以用xpath注入
  
  
  
• 提交一個單引號，返回的響應證明確實有xpath注入漏洞
  
• 利用這行代碼

$query="user/username[@name='".$user."']";

構造payload：?user=']|//*|//*['
可以用這個payload訪問這個xml文檔里面的所有結點

• flag到手
• 寫WP的時候其實還發現了個更簡單的辦法

$xml = simplexml_load_file('slain.xml');

這行代碼說明服務器存在一個slain.xml文件，說不定能夠直接訪問

• 試一下，還真行
  

總結

以上是生活随笔為你收集整理的[AHU2021校内赛] ez-injection的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。