赞
踩
到页面里发现是一个登录框
回想注入思路,先判断注入类型,然后尝试登陆绕过
使用万能密码username=’ or 1=1 or ‘1’=‘1’# &password=asd
打开页面发现是一只猫猫,点了两下拖了两下发现没什么
然后老规矩F12查看有没有提示信息
发现有这么一段代码,可以对页面传参cat,传cat='dog’就执行了一段代码,不知道是什么,尝试了一下直接出了flag…
进入发现是一个查询框
**尝试database()#**爆出数据库名
然后我又尝试输入bool字段,发现false回显0,true回显1
至此做出大胆猜测
https://blog.csdn.net/qq_43619533/article/details/103434935(没思路了参见博客)
说联想到select 输入数据||flag from Flag(这个表名用show tables查看)
这里应该是根据题目描述猜测出来的,描述说到输入正确的flag就会显示flag,所以才有后面这个||后的东西
||在这里起到or的作用
内置的sql语句为 sql = " select ".sql = “select “. sql=“select”.post[‘query’].”||flag from Flag”;
如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,也就是select *,1 from Flag,也就是直接查询出了Flag表中的所有内容
妙啊
根据这个标题首先就能知道这是一道文件包含题
看这个tip是包含的flag.php这个文件
尝试目录扫描,直接回429(太多请求)状态码,阻止扫描行为
使用伪协议,构造payload的时候发现页面对敏感字符有过滤
?file=php://filter/read=convert.base64-encode/resource=flag.php
base64进行解码得到flag。
可以的
得,没有扫出来
有这么个链接
点进去
点一下这个secret看看发生什么
又出来个这东西,说我们没看清,找了找页面里啥也没有,返回去看secret那个页面,看看链接属性
发现它用的是当前目录的action文件,我们直接尝试一下进入它
action出来一个302跳转,我们需要看一下这个页面到底有什么东西
用burp拦截,然后repeater放包,看看这个302页面响应
有个secr3t.php文件,访问一下
又出现这样的页面,看来还得绕过限制
php://input
和php://data
,那就试一下filter咯?file=php://filter/read=convert.base64-encode/resource=flag.php
得到flag
绕啊~
用SQLMAP是没有灵魂的
熟悉的页面,上次就是用万能密码过的,这次看看还成不成
' or 1=1 or '1'='1' #
密码记得随便填一下
发现可以??
那就尝试一下手工注入?
经测试有三个显示位' union select 1,2,3 #
没有过滤,就是万能密码还有常规注入
页面很熟悉,这里考查命令执行
要熟练掌握管道符的应用还有windows或者linux下的常见命令
判断位置 127.0.0.1 || pwd
路径穿越
发现这个flag不是一个目录,是一个文件
127.0.0.1 || cat ../../../flag
初级命令执行
从题目来看还是要考查命令执行的
但是这道题有过滤的,我弄了老半天才理解这个是什么意思
这个意思就是不能特殊标点符
这个就是不让你用空格
尝试空格绕过
那我们就不用空格了,直接挤在一起
/?ip=127.0.0.1||pwd
能行√
ls
flag是关键字
发现弄不成,还是得用空格,想办法绕一下,查一查空格绕过
https://www.cnblogs.com/wangtanzhi/p/12246386.html(参照)
法1:变量拼接
127.0.0.1;a=g;cat$IFS$1fla$a.php
法2:内敛执行
?ip=127.0.0.1;cat$IFS$9`ls`
emm,绕过成功
学到了啊
白给的shell,连就完了,然后flag在根目录下,找找就有了
神奇的shell啊
下面来到我们熟悉的easytornado
三个页面分别有这么些内容,
flag在/fllllllllllllag里,访问这个文件存在模板注入点
https://www.tornadoweb.org/en/stable/ 这是tornado的官网
render是tornado框架里面的一个函数,render是渲染函数,你可以通过这个函数渲染你的template模板,你可以通过render函数,向你的xxxx.html传参
查阅手册是一个需要耐心的过程
在tornado框架里有一个get_secure_cookie函数可以获取已经设置的cookie的值
通过调用self.application.settings来输出值
然后找相关信息
self.application.settings有一个alias(别名)叫requesthandler.settings
https://www.cnblogs.com/chalan630/p/12609470.html(参见)
handler
指向的处理当前这个页面的RequestHandler
对象, RequestHandler.settings
指向self.application.settings
, 因此handler.settings
指向RequestHandler.application.settings
。
利用模板注入msg={{handler.settings}}
/file?filename=/fllllllllllllag&filehash=8ece6e1ebb84a1280755edb1c51ba39c
得出flag
对代码的分析能力和关键信息获取好重要
进来发现一个很友好的页面,然后不知道标题是什么意思
看了看没有什么头绪,就F12打开看看有什么东西
点来点去的时候发现了这个
* 氛围这两个字指向了一个页面
把点击属性改了或者直接进文件到这个amazing页面了就
emm,不是来自https://Syssecret.com,是什么意思,拿着这个网址访问了一下没反应
噢~这题靠http考得好全,那就继续
然后~
本地访问,懂得都懂,XFF伪造
完成!
HTTP头,果然有意思
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。