单纯记录下来分享,各位复现时莫要删人家后台的东西,也不能用漏扫什么的,等下网站崩了就等着鼠掉挨骂噜,与本人无关。
首先进入网站以后发现该网站有BLOG,点击跳转到该页面后,点击里面其中一条别跳转到该页面。如下图1.1和图1.1.1所示:
图1.1
图1.1.1
当抓包后发现该网页的是GET请求,并且可能存在注入点,将该数据包改成POST包,右击点击change request method该包。如下图1.2所示:
图1.2
改成POST数据包以后,在cookie中测试注入,commentid=5/1,返回的数据包是正常,但是commentid=5/0,返回的数据包显示不正常,所以可以判断为数字型,接着尝试order by猜字段数。(因为这里将and or给禁掉了,所以用/1和/0的判断方式)如下图1.3所示:
图1.3
这里的字段数为5,那么查看回显,直接用联合注入即可。select union 1111,2222,3333,4444,5555
通过返回的包看到,4444和1111是没有的,那么可以修改2222和3333以及5555。就变成了
commentid=5 select union 1111,2222,3333,4444,database()#
查看返回包得到库名为hs_test_s1_blog,如下图1.4所示:
图1.4
接着按照联合注入的方式爆出表和字段和数据即可。爆出admin表中的password的数据。如下图1.5和1.6和1.7所示:
图1.5
图1.6
图1.7
然后将爆出的密码进行MD5解密得到密码如下图1.8所示:
图1.8
此时已经得到账户密码,但是找不到登录后台,使用7kbscan扫描到一个目录。如下图1.9所示:
访问该网站,跳转到该页面如下图2.0
图1.9
没想到叭,直接刷新。这样就能跳到这里了。如下图2.0所示:
图2.0
根据之前爆到邮箱、密码、然后写入验证码,而第三个4 digits code要填啥子呢,没想到叭,我也没想到,在原本网站寻找。还考英语呢,就是网页中的那个生日,填入1027,成功登录,但出现hold on界面如下图2.1
图2.1
没想到叭,直接刷新 即可进入后台如下图2.2
图2.2
然后点击这个
啥也没有,把url中CN改成TIP后,页面发生变化
接着查看页面源代码,查找flag
看命令,前面两个都是删了的,所以
vim flag-stage1-272d3798-cdc0-4f47-9a77-d8916fb84226.txt
这条为对的flag
emmmm至于为啥从这里找flag,emmmemmmmmmm,俺也不知道,有啥不对的,有师傅看到欢迎指正。