封神台-getshell
有个小提示
进入靶场
御剑扫描一下
我们得到了一个admin/login.php
这个看着就很敏感。猜测是管理员的登录界面
访问进去果然是管理员的登录界面
我们转到虚拟机中去,使用bp抓下包
这里可能有的盆友和我一样,一开始验证码的模块没有显示出来。得调一下比例才可以把验证码的框显示出来。虚拟机浏览器比例的问题
输入用户名密码验证码,抓包
发送到repeater模块
寻找注入点
先尝试着在用户名处修改
存在注入点。这里有一个问题,就是我在第一次抓包修改用户名上传后返回的提示信息是验证码不正确,猜测这里应该有一个时间限制会自动刷新验证码,所以建议在输入用户名的密码后,输入验证码前,将验证码刷新后在输入,点击登录抓包
先猜测字段
使用order by语句
当参数为6时报错
从回显信息我们可以知道筛选字段数为5,
select id,admin_name,admin_password,admin_purview,is_disable from bees_admin where admin_name=‘admin’ order by 6#’ limit 0,1
筛选字段为id,admin_name,admin_password,admin_purview,is_disable
从admin_name表中筛选
爆一下回显字段
使用联合查询
Union select 1,2,3,4,5
根据回显我们可以知道关键字被过滤了、、、、
尝试下双写绕过
Union绕过失败,可能是我方式弄错了,这里就不试了
Select绕过成功,但是没有回显字段
这边用到一个报错注入extractvalue(1,‘~’)
查询数据库user’ a and nd extractvalue(1,concat(’’,(database()),’’)) #
得到数据库名bees
接下来要查询所有的数据表
需要注意的是,extractvalue(1,‘~’)注入能查询的字符串最大长度为32
但我们之前也知道了,网站对我们进行了一个关键字过滤,需要双写来绕过才行
也就是说我们需要解决查询字符串长度的问题
我们需要使用substr()函数来截取字符串
输入查询语句
a and nd extractvalue(1,substr(concat(’~’,(selselectect group_concat(table_name) fr from om information_schema.tables w where here table_schema like database()),’~’),1,30)) #通过调整substr中的len参数来获取所有的数据表
之前我们得到了五个字段id,admin_name,admin_password,admin_purview,is_disable
我们从bees_admin中查询admin_name和admin_password
注入a and nd extractvalue(1,concat(’~’,(selselectect admin_name fr from om bees_admin limit 1),’~’)) #
用户名是我们之前猜测的admin
注入a and nd extractvalue(1,substr(concat(’~’,(selselectect admin_password fr from om bees_admin limit 1),’~’),10)) #
这里依旧调整参数来不断获取参数
参数为1 时
2~6时
7时不回显
8~10
再往后查询要么不回显,要么就是和8~10时一样的字符
最后一个一个md5解密字符串
得到
也就是说管理员密码为admin
登录后台
成功进入后台
在上传图片管理处可以看到我们可以修改图片,重新上传。
这里就用图片木马上传,抓包修改后缀为.php
懵逼了。。。。。
居然没有返回文件位置
返回浏览器查看。文件已经上传上去了
吓死了。还以为又挂了
点击图片
Url返回文件位置
菜刀连接,
Flag在c盘下
。。。。
这个居然还是个假的
正确的flag在这里
封神台-getshell相关推荐
- 【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳 一二三四五六章
[封神台 - 掌控安全靶场]尤里的复仇 Ⅰ 小芳 一二三四五六章 文章目录 [封神台 - 掌控安全靶场]尤里的复仇 Ⅰ 小芳 一二三四五六章 第一章:为了女神小芳 SQL注入攻击原理实战演练 第二章: ...
- 【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳!一二三四五六七章
[封神台 - 掌控安全靶场]尤里的复仇 小芳! 第一章:为了女神小芳! SQL注入攻击原理实战演练 一.判断是否存在sql注入漏洞 二.判断字段数 三.判断回显点 四.正式注入 五.sql自动化注入 ...
- 封神台靶场writeup
封神台靶场 https://hack.zkaq.cn/battle 还是很有意思的一个靶场 查看源码,找到了字典文件: 用域名爆破工具,放入字典后爆破:答案为:http://8adc3387c2ed6 ...
- sqlmap的使用 (以封神台题目为例)
一.sqlmap选项 目标:至少要选中一个参数 -u URL, --url=URL 目标为 URL (例如. "http://www.site.com/vuln.php?id= ...
- 封神台—高校靶场ctf—第一期Web web_008
封神台-高校靶场ctf-第一期Web web_008 web_008 php审计 难度:⭐⭐ 首先咱们观察提示获取源码,这时第一想到的就是查看网页源码咱们先点开传送门来看一下题 一个可以提交数据到服务 ...
- SQL注入漏洞_封神台第一关
SQL注入漏洞_封神台第一关 http://59.63.200.79:8003/?id=1 一.观察疑似可注入点 ?id=1 二.尝试输入单引号和双引号 使用hackbar进行测试比较好 以下是正常显 ...
- 封神台——高校靶场ctf——第一期Web web_001
封神台-高校靶场ctf-第一期Web web_001 web_001 签到 难度:⭐ 首先点击传送门打开相应的题目可以看到 这样一个画面,一个链接不到的反应,但题目以及告诉,F12就完事. 显然答案没 ...
- mbp 封神台靶场 一(笔记)
最近在看掌控安全的公开课,里面提到了封神台靶场,因为以前也做过网易云课堂的靶场,便轻车熟路地注册了账号登陆靶场,先看了第一关.第一关是通过SQL注入找到管理员密码,打开链接,点进去一看发现有猫腻. 一 ...
- 封神台-第二章 尤里的复仇
封神台-第二章 尤里的复仇 1. 任意选择一条新闻动态 2. 发现出现交互界面 url中id=170 存在注入点 3.判断字段数 ?id=170+order+by+10 ?id=170+order+b ...
最新文章
- 在VC++中创建DLL文件并加载
- 聊聊elasticsearch的RoutingService
- 硕士:论文提交和考试
- BIEE入门(一)架构
- 《编程珠玑(续)(修订版)》—第2章2.1节Awk中的关联数组
- spring mvc 和ajax异步交互完整实例
- Android Studio Design界面不显示layout控件的解决方法
- [转] [Elasticsearch] 数据建模 - 处理关联关系(1)
- animation-fill-mode的一些思考
- Agisoft Metashape Professional for Mac(三维建模软件)
- C++11 | 正则表达式(4)
- 电子设计(4)高电平、低电平复位电路
- 论文笔记1:Fast and Robust Multi-Person 3D Pose Estimation from Multiple Views
- TCP/IP网络通信协议
- 【百人计划】图形3.5 纹理压缩的格式
- 图扑软件携数字孪生产品与解决方案亮相高交会
- 深度学习基础知识---梯度弥散 梯度爆炸
- Java学习路线图,内附完整Java自学视频教程+工具经验
- androd11 编译 Manually written binder interfaces are considered error prone and frequently have bugs.
- 让车机「下雨」,路特斯的智能座舱跑偏了吗?