HTB(hack the box) Cartographer
这道是30points的web题。
提示:
一些地下黑客正在开发一种新的命令和控制服务器。你能闯进去看看他们在干什么吗?
进入网页:
是一个登录界面,首先尝试弱口令:admin admin。
没有提示,又回到了这个页面。
然后,没有验证码,想到爆破,但是因为没有登录错误信息,而且要爆破两个位置,这不太现实。
然后,又尝试用万能密码来登录:admin ’ or 1=1 # 。
发现:
网页重定向到了:http://docker.hackthebox.eu:31292/panel.php?info=home
info进行传参了。是不是sql注入?
加了单引号,显示:
那说明这里的info应该是包含的页面。
尝试将home改为flag,竟然出现了flag。。。
提交,30points到手。