Nova
做题累不累,看个视频放松下吧,请用 Chrome
传送门: http://207.226.143.203/
題目給了一個連結, 看起來是轉址服務, 試了一下id參數發現有下面幾種情況:
http://207.226.143.203/1.php
=> 123.txt (廢文一篇)
http://207.226.143.203/1.php?id=1
=> 1.mp4 (百度網盤)
http://207.226.143.203/1.php?id=2
=> 2.mp4 (百度網盤)
http://207.226.143.203/1.php?id=3
=> 3.mp4 (百度網盤)
不斷的嘗試還會發現
http://207.226.143.203/config.php
=> 什麼都沒顯示
卡關許久, 隊友發現 1.mp4
, 2.mp4
, 3.mp4
結尾居然有 base64 編碼過後的字串...
合併後還原發現是一個 rar 的壓縮檔
暴力破解發現密碼是 Blizzard
(B還是大寫)
解開後可以看到 1.php
的原始碼
改一下 User Agent 後就可以 SQL Injection 了
原始碼:
<video controls='controls" autoplay="autoplay">
<?php
error_reporting(0);
include('config.php');
$id = $_GET['id']
if($_SERVER['HTTP_USER_AGENT'] !== "Blizzard_client")
{
$id = (int)$id;
}
$sql = "select name from view where id =".$id;
$r = mysql_query($sql);
$result = mysql_fetch_array($r);
echo '<source src="'.$result['name'].'" type="video/mp4"/>;
?>
</video>