image-20260617102913612

先注册一个UID

image-20260617102925494

登录进来可以看到有一个管理员工具,我们还是个user

image-20260617102939856

在Refresh Session Data这个功能中可以看到请求包上传了一个uid上去,我们在里面加一个单引号,直接报数据库错了,可以说明这有一个sql注入漏洞

image-20260329201750511

可以看到三个地方都有回显

image-20260329202037161

经过测试为sqlite注入,查表可以看到有一个users表

1
'union select 1,name,3 from sqlite_master where type='table'--+

image-20260617103007882

查列名,可以看到有uid,username,role三列

1
'union select 1,sql,3 from sqlite_master where type='table'--+

image-20260329202313744

直接爆破出admin的uid

image-20260617103027523

用admin的uid登录进来,文件备份工具就可以用了

image-20260617103039093

继续抓包可以看到get传参有一个config.json文件,可以试试文件包含,我们直接改成/flag

image-20260329202551444

被waf拦截了,不能直接用绝对路径

image-20260329202648643

用相对路径发现flag文件找不到

image-20260617103055770

直接flag也是一样,可以判断把../去掉了

image-20260617103109836

既然不能直接绝对路径,那肯定是相对路径了,既然../会被去掉,我们直接..//flag

image-20260617103120538