首先看下题把
打开网站,基本套路,查看源码,除了说fast,没有发现什么有价值的东西
打开burpsuite截断看一下,在respond里发现flag,我一看就是base64编码,另外注意细节,respond里有一句提示 <!-- Please post the ichunqiu what you find
解码之后我们根据提示Please post the ichunqiu what you find
利用hackbar进行post请求提交解码出的数据
提交之后网页唯一的变化的是多了个fast!!,猜测可能是请求超时,下面写个python脚本自动提交下请求
python脚本执行的结果和网页里是一样的,到了这里就没思路了
开始尝试对解码后的base64进行二次解码
然后再次用hackbar尝试发起请求,结果还是只有fast!!!
用python脚本发起post请求,不过这次提交的数据是经过二次编码的,结果发现了一个path(以防有人不知道path的中文是路径)
接下来在原来的url后面加上这个path去访问
登录界面是这个样子的
这时候查看源码如下,没有任何收获
打开burpsuite截断如下,没有任何收获,思路又断了!!!
不得不去看了一眼答案,原来还有svn源码泄露漏洞(svn源码泄露和git源码泄露类似,造成SVN源代码漏洞的主要原因是管理员操作不规范,在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息)
然后下载了一个工具svnExploit(这个工具是针对svn有源码泄露网站进行扫描并且可以下载泄露的源码文件),这个工具也是python写的,不敢说我也能写出这样的脚本,但是它的原理很简单,就是对一些特有的文件进行扫描,这个工具我下载后并不能用,不知原因何在,自己搞了个简单的代替版说明下原理
根据返回的状态码,说明.svn/wc.db这个文件是存在的,然后我们访问
http://a22598faf7f84685a53fd3fb3dcaa5b051b4d1702ddd43ea.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/.svn/wc.db
返回结果是My username is md5(HEL1OW10rDEvery0n3)
对HEL1OW10rDEvery0n3进行md5加密得到8638d5263ab0d3face193725c23ce095
终于!我们得到了登录界面的用户名 8638d5263ab0d3face193725c23ce095
登录界面的密码我们不知道,也没线索,不过在登录界面captcha有一句提示
substr(md5(captcha), 0, 6)=bceec9
这句话的意思是captcha经过md5加密后前六位是bceec9
先写个脚本跑着
import hashlib
def md5(s):
return hashlib.md5(str(s).encode('utf-8')).hexdigest()
for i in range(1,99999999):
if md5(i)[0:6] == "bceec9":
print(i)
exit(0)
print(i)
跑出的结果是13685630
然后我们去先随便填个密码123试下
然后弹出来一个新窗口,出现了xxxxxxxxxxxxxxxxxxxxxx.php
进入新的url,原来的url+xxxxxxxxxxxxxxxxxxxxxx.php,终于到了主题!!!upload!!!
上传php一句话木马
开始基本套路,burpsuite截断修改后缀
然后!!!居然也被过滤了!!!
这里又看了下答案,居然是把php后缀改成pht绕过上传!
又涨了新姿势!(这里可以把常见的绕过后缀整理成一个脚本,然后跑一下)