再見CMS

拿到連結是一個部落格網站,對於這樣的題目:
1. 第一步,肯定是要判斷出cms型別
2. 第二步,查詢該cms曾經出現的漏洞
3. 第三步,然後利用這些漏洞拿到flag.

第一步：判斷cms型別

這是該網站的登入頁面，根據這個登入頁面和下方的備案號、版權宣告的格式都可以判斷出這是個齊博cms。
下面是齊博CMS的整站系統：http://v7.qibosoft.com/

可以看出這兩個登入頁面幾乎一致，而且連備案號都一樣，當然，現實情況不太可能出現備案號一樣的情況的。
要掌握判斷cms這個技能，更多的還是需要不斷的積累，掌握每種cms的特徵。

第二步：查詢該cms的漏洞

根據漏洞構造這樣一個注入語句，判斷能否注入：
http://64475e701bee42ceba15a967b3737b7ebd9a2eace0794caf.game.ichunqiu.com/member/userinfo.php?job=edit&step=2
post資料：
truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid=,address=(select version()) where uid=3 %23
簡單的說一下這個注入，url是一個修改個人資訊的連結，post裡面是我們要修改的內容，變數裡面的%00經過轉義會變成\0,那麼$

truename=xxxx%0000就會變成 $truename = xxxx\000 ，而關聯陣列變數$Limitword則會對$truename這些變數進行字串替換，把符合key值的字元替換為value。我們提交的post裡面$Limitword則有 000=>”,這樣一對kay-value值，所以$truename則會被替換為 $truename = xxxx\，且字串裡面的\是沒有經過轉義的。我們測試以下注入能否進行。

看紅色下劃線部分，`truename`=’xxxx\’,`provinceid`=’ ‘,`cityid`=” WHERE username=’abc’ ，在xxxx前面有一個單引號，但是xxxx後面的那個單引號被加了\，表示轉義，所以xxxx後面的單引號便不再具有閉合單引號的功能。所以`truename`=’xxxx\’,`provinceid`=’ 成為了一個完整單引號閉合的變數。那麼，我們就可以在post裡的provinceid欄位裡寫入注入語句。

第三步：根據漏洞尋找falg

post資料：
truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid= , address=(select version()) where uid = 3 %23
uid處填寫自己的uid，（uid在個人資訊頁面的url裡面)。 %23是#的url編碼，目地是把後面的語句註釋掉。

然後訪問自己的個人資訊頁面：

會看到，在聯絡地址那一欄裡顯示出了我們注入得到的結果。
那麼接下來我可能就會區資料庫裡看一下有沒有flag:
先看一下有哪些庫：


看一下blog庫裡有什麼表：

看一下有哪些欄位，主要問題是如何繞過單引號的轉義,我是通過這樣的方式進行繞過的：
post資料：
truename=xxxx%0000&Limitword[000]=&[email protected]&provinceid=
, address=(select group_concat(distinct(column_name)) from information_schema.columns where table_name = (select distinct(table_name) from information_schema.tables where table_schema = database() limit 1) ) where uid = 3 %23

好像沒有有關falg的資訊，我們試一下/var/www/html/flag.php。那麼在已知sql注入的情況下，如何讀取一個檔案的內容呢？
https://www.cnblogs.com/blacksunny/p/8060028.html

load_file函式裡面那一串十六進位制數字代表/var/www/html/flag.php

flag需要檢視個人資訊頁面的原始碼才能看見。