SUYUMEN

打开是登录界面，看了一下源码，发现一段：

1

<a class="nav-link" href="/flag">Admin panel</a>

直接访问回显You have to login first.;

dirsearch扫了一下，没东西。

随便输入，抓包，发现response的 cookie很奇怪：

看题目是sql注入相关，正好开始学一下。

初始站点有个post框框，输个1进去抓包,了解到参数是$id,转到intruder模块随便拿了个payload对$id爆破一下，发现几种回显：

Nu1L
bool(false)
SQL Injection Checked.
Error Occured When Fetch Result.
V&N

通过SQL Injection Checked.发现and,or,information_schema,union select被过滤了

直接给了源码

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

WEB-INF中包含：

web.xml：整个web应用的配置信息
classes（类路径）：站点所有用的class文件，包括servlet class和非servlet class，他们不能包含在.jar文件中。
src：源码目录，按照包名结构放置各个java文件。
lib：存放web应用需要的各种jar文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件，会自动添加到buildpath。
database.properties：数据库配置文件

java任意文件下载漏洞利用方法：

下载/WEB-INF/web.xml文件，推断class文件路径，下载class文件，查看。

查看页面源码，注释中发现
<!--Here is the real page =w= -->

<!--GFXEIM3YFZYGQ4A= -->

base32解密得到

1nD3x.php

进入1nD3x.php界面得到php代码：