1.阅读靶场介绍这里我们可以得到的有用信息是第一关键路径admin/operations/tax.php第二参数可控的INSERT 语句参数第三攻击类型从而导致了SQL注入攻击2.启动靶场我们会得到如下页面这里看来一下暂时没有思路只能是尝试去登入管理员后台先这里我们点击admin login会进入如下页面这里就跳过一下试错的步骤博主简单讲一下自己大概是怎么去测试的首先是测试了sql注入然后测试了弱口令最后尝试暴力破解都没有效果3.开辟新天地这里博主尝试去用dirsearch去获得更多可用路径我们输入如下命令dirsearch.py -u https://eci-2ze5l026x7genixau6js.cloudeci1.ichunqiu.com这里扫了几分钟以后我们发现可以用的就只有三个绿色的url我们挨个去访问4.poc文件上传最后我们发现这里的/admin/file.php是有利用价值的页面如下典型的文件上传bp开起来然后抓包上木马将原来的.png改为.php然后放行再访问这里我们发现是成功上传php了直接复制文件路径然后就是中国蚁剑启动完成webshell见下图的信息但是进入后台以后其实是不可以直接找到flag的这里我们要再进行下一步操作去数据库操作输入root这个密码试试看看这里我们发现是无功而返的5.pocSQL注入回归到一开始的关键路径我们尝试看看能不能sql注入我们直接启动sqlmap然后执行下面这个命令看看介绍中的路径是否可以直接sql注入稍等片刻以后sqlmap.py -u https://eci-2ze5l026x7genixau6js.cloudeci1.ichunqiu.com:80/admin/operations/tax.php?id1 --batch我们得到的结果是我们可以发现这里有三种注入方式布尔盲注/错误注入/时间盲注正常来说接下来就是先当朋友后当妹最后变成小宝贝的环节了但是博主这里是用另一个方法的各位可以相互学习一下哈这样是可以省掉很多时间陈本的首先是执行下面的语句拿到shellsqlmap.py -u https://eci-2ze5l026x7genixau6js.cloudeci1.ichunqiu.com:80/admin/operations/tax.php?id1 --batch --sql-shell提权以后我们的输入框会变成这样的然后就是找自己想要的文件输入select flag from flag后执行以下是命令执行的结果到此文章也接近尾声了各位彦祖和亦非们如果期待博主打任何靶场欢迎留言哟感谢你们花费宝贵的时间来看博主的拙见期待你们的点赞和关注支持一下博主文章基本每天都会更新关注博主不迷路哟
