网上随便找了个demo,随意注册一账号。

登陆之
后台地址修改成/web/index.php?c=system&a=site&,可以进行越权操作

进入了phpmyadmin,需要知道路径 直接写入一句话到test.php
SELECT ''INTO OUTFILE 'E:/wamp/www/test.php'
此时，shell已经躺在了目录中,连接即可

st2漏洞利用工具,支持s2-032
链接：http://pan.baidu.com/s/1c2qK9rU 密码：vkdk

网上看到phpecms这套系统，本地搭建环境，进行测试
任意注册一个用户,看到存在一个上传点,上传测试

直接上传php文件,上传错误
Content-Type:改成jpeg/gif格式
成功上传,拿到shell

可以看到这是个登陆口,还给了登陆的代码
if($_POST["user"] && $_POST["pass"]) {
$conn = mysqli_connect($servername, $username, $password, $database);
if ($conn->connect_error) {
die("Connection failed: " . mysqli_error($conn));
}
$user = $_POST["user"];
$pass = $_POST["pass"];

$sql = "select user from user where pw='$pass'";
//echo $sql;
$query = mysqli_query($conn,$sql);
if (!$query) {
printf("Error: %s\n", mysqli_error($conn));
exit();
}
$row = mysqli_fetch_array($query);
可以看到没有经过过滤,pass处存在sql注入,
抓包，丢sqlmap一跑，跑出账号密码,发现密码死活解不出
后来一想,会不会是明文,登陆出flag