i春秋Upload

打开是一句普普通通的话,先查看源码,发现提示,我们需要post我们从i春秋得到的东西

得到了什么呢?不知道,去看看cookie,没什么特别的地方,再去抓包试试

 

 

找到了我们需要post的东西,不过这东西会一直刷新,并且频率很快,所以这里只能借助脚本

import base64,requests

def main():

    a = requests.session()

    b = a.get("http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/")

    key1 = b.headers["flag"]

    c = base64.b64decode(key1)

    d = str(c).split(':')

    key = base64.b64decode(d[1])

    body = {"ichunqiu":key}

    f = a.post("http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/",data=body)

    print (f.text)

if __name__ == '__main__':

    main()

跑出来是一串字符串

 

 

字符串的意思是提示我们一个路径,不管了,访问之

Url/3712901a08bb58557943ca31f3487b7d

进去是一个普普通通的跳转界面,看源码没什么特别的

点按钮进入下一界面

 

 

就是一个登录界面了

尝试注入

注入失败。。。

下面还有给验证码,这个验证码我还真遇到过,就一字符串取其前六位再md5加密后得到的东西,反向解密就可以得到验证码

然后试试再在username中注入。。。。注入失败,看来这里就不是注入可能

看了别人的wp才知道这里是svn泄露(目前还不知道这么测,难道一个个排查吗)

直接访问http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/.svn/wc.db

得到usernamepasswordmd5加密的,直接用解码工具解开就行了)

 

 

解开username8638d5263ab0d3face193725c23ce095

密码随便填

验证码爆破

就可以登录成功了

 

 

但是登录后并没有什么东西,还是原来的输入账号密码验证码。。。。

看了提示才知道弹窗上面有个文件名

不多说,访问之

http://549bc9defbb74fc5bf83a53d5f194bccf641983365c0447b.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/7815696ecbf1c96e6894b779456d330e.php

是一个文件上传的界面

这时我想到的是一句话木马,就直接上传个php文件上去,提交后提示我们需要JPG。。。这种题我也遇到过,抓包改就行了。。。。

 

 

。。。。。

被嘲笑了似乎

看别人wp才知道这里原来是0x00截断

就先传一个jpg的图片文件上去再用bpsubmit的包再修改文件后缀为pht(这个我完全想不到。。。)

Go一遍得到flag

 

posted @ 2019-09-04 23:11  七星易  阅读(673)  评论(0编辑  收藏  举报