[GWCTF 2019]我有一个数据库1

worker..

已于 2024-08-04 09:45:47 修改

阅读量278

点赞数 2

文章标签： vue.js

于 2024-08-03 23:00:34 首次发布

本文链接：https://blog.csdn.net/kw741951/article/details/140898007

版权

打开题目，一串乱码，不认识的汉字

打开题目地址，用dirsearch对网站进行扫描，发现几个目录。

打开，其中一个显示为是一个MySQL数据库Version 4.8.1。

发现该数据给具有文件包含漏洞，输入以下代码验证存在

http://8d5da76e-6a29-48a3-9f97-c9ccd33297ef.node4.buuoj.cn:81/phpmyadmin/index.php?target=db_datadict.php%253f../../../../../../etc/passwd

然后输入payload得到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

worker..

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUU刷题--[GWCTF 2019]我有一个数据库

weixin_48631429的博客

12-02

607

我有一个数据库 打开看到这样一堆文字，读不懂，也没有其他的信息。怎么想也想不到该怎么做，buu还不能扫描。所以只能看了wp，看到有一个/phpmyadmin，回来开始想怎么做 phpmyadmin版本信息4.8.1，搜索一下有什么漏洞。任意文件包含：那么我们就可以利用来读flag ?target=db_datadict.php%253f/../../../../../../../../../flag 拿到flag 考点就是CVE-2018-12613 ...

[GWCTF 2019]我有一个数据库&&getshell

plant1234的博客

03-24

2869

BUU我有一个数据库&&getsholl 做这题的话目的是为了复现 phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞这题的话打开看是乱码,但查看响应还是有东西的：多的不说先信息收集一波，直接扫目录，看页面有没有有用的信息然后。日常访问有没有：robots.txt 得到：在发现有phpinfo.php 访问得到：得到了后端脚本语言php的一些信息扫描得到：扫描发现有：phpmyadmin/ 直接访问得到：发现没有要登陆省去了很多的步骤尝试用

参与评论您还未登录，请先登录后发表或查看评论

[GWCTF 2019]我有一个数据库 1

qq_43618536的博客

07-21

800

[GWCTF 2019]我有一个数据库 1

BUUCTF[GWCTF 2019]我有一个数据库

LSYZWF的博客

10-12

1797

文章目录题目解答漏洞分析知识点题目链接：https://buuoj.cn/challenges#[GWCTF%202019]%E6%88%91%E6%9C%89%E4%B8%80%E4%B8%AA%E6%95%B0%E6%8D%AE%E5%BA%93 解答 1、乱码，看不懂 2、F12 同时结合题目可能与数据库有关 3、可以尝试扫描相关数据库的端口是否开放，也可以通过数据库工具进行连接测试，但是这里使用的是phpmyadmin 随便翻阅了一下，得不到有用的东西，也证实了上面什么都没有的说法 4、从

[GWCTF 2019]我有一个数据库(文件包含漏洞)

weixin_44110537的博客

10-03

434

一堆乱码,什么都没有. 查看源代码也没有什么隐藏信息. 于是dirsearch扫描一下,发现有个数据库登入页面. 发现不用登录直接就可以进去了. 但是发现这里面什么都没有. cve-2018-12613-PhpMyadmin后台文件包含这个漏洞出现在index.php中的 // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) && is_st.

BUU [GWCTF 2019]我有一个数据库

cadandme的博客

05-11

240

刷了一道web题，记录做题过程。打开页面看到打开源码，尝试解码。试了UTF-8，尝试把得到的数据导成文档。结果是乱码，走入了死胡同。数据库，数据库，又想到扫描目录，在kali扫描，发现东西先看txt，再看phpinfo.php 到这里彻底不懂了，瞎搞了没看出东西后，看了大佬的wp，说是phpmyadmin 4.8.1 远程文件包含漏洞（CVE-2018-12613）后面跟着wp来，可惜在构造Pyaload使用时显示 index.php?target=db_sql.php%253f/

[GWCTF 2019]我有一个数据库

pakho_C的博客

02-26

2903

web第38题 [GWCTF 2019]我有一个数据库 打开靶场提示有数据库，可能存在phpmyadmin类似的数据库管理工具页面，使用dirmap进行目录扫描结合提示，有phpinfo.php和phpmyadmin目录访问phpmyadmin 版本：4.8.1，存在文件包含漏洞漏洞原理参考CVE-2018-12613phpmyadmin(文件包含)漏洞复现这位师傅也讲得很好 BUUCTF_Web_[GWCTF 2019]我有一个数据库 直接构造payload： ?target=db_dat

BUU[GWCTF 2019]我有一个数据库

qq_62078839的博客

04-26

1848

打开链接一堆乱码，查看源代码也没什么信息可提取，利用目录扫描器，看能不能扫出什么东西扫到了一个phpmyadmin 进去看看这里的版本号为4.8.1，而phpmyadmin在4.8.0以及4.8.1的版本号中有文件包含漏洞 [PHPMYADMIN]CVE-2018-12613 我们试试读取看是否成功 index.php?target=sql.php?/../../../../../../../../../etc/passwd 成功尝试读取flag inde...

[GWCTF 2019]我有一个数据库(CVE-2018-12613)

记录学习，一起进步

01-29

420

[GWCTF 2019]我有一个数据库(CVE-2018-12613)

第三十九题——[GWCTF 2019]我有一个数据库

分享简单的安全技术

04-24

348

题目地址：https://buuoj.cn/challenges 解题思路第一步：进入题目，一堆乱码，使用diirsearch获取到了phpmyadmin这个目录第二步：访问phpadmin目录，查看到了当前版本4.8.1，经查该版本有远程文件包含漏洞，与第一题漏洞一样第三步：查看漏洞发现需要上传target参数且满足一定要求，构造：phpmyadmin/?target=db_sql.php?/../../../../../../flag获取flag ...

NO.2-6 [GWCTF 2019]我有一个数据库

nigo134的博客

07-26

191

该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞使用御剑进行扫描发现phpmyadmin/目录，无需密码便可以进入查看相关版本信息百度一下发现phpmyadmin4.8.1版本文件包含漏洞，问题出在index.php的target参数位置 // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) &&amp..

[GWCTF 2019]枯燥的抽奖 1