Hack the Box——FreeLancer(sql) wp

最新推荐文章于 2022-04-18 10:41:42 发布
最新推荐文章于 2022-04-18 10:41:42 发布
阅读量432 收藏
点赞数 1
分类专栏: Hackthebox 文章标签: sql 依赖注入 hacks wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutao598/article/details/112993784
版权

0x00前言

忙着学习的我,继续肝下一题

提示:

Can you test how secure my website is? Prove me wrong and capture the flag!(您可以测试我的网站的安全性吗?证明我错了,并抓住了旗子!)

0x01访问网站

http://167.99.88.216:32583/

首先找攻击点

0x02 攻击点

打开源码从注释中找到攻击点

<!-- <a href="portfolio.php?id=1">Portfolio 1</a> -->

看见这个瞬间想到sql注入

最低0.47元/天 解锁文章
maple_sec
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hackthebox-cronos(考点:dns/sql注入/crontab)
冬萍子癸水
04-11 363
nmap 看到53端口就应该想到dns,在/etc/hosts/里加上10.10.10.13 cronos.htb 然后再打开80,进入 cronos.htb。看看网页。以及dirbuster扫,但都没什么有价值的信息。 没啥突破口啊。继续信息搜集。 看来针对端口53,还要再利用 dig axfr @10.10.10.13 cronos.htb host -l cronos.htb 10.10...
Hack The Box-Freelancer
最新发布
m0_52742680的博客
06-04 2763
HackTheBox S5赛季靶场第七篇
sql注入---hack the box
m0_56010012的博客
04-18 2816
SQL 服务通常如何运行的一个很好的例子是用于任何用户的登录过程。每次用户想要登录时,Web 应用程序都会发送登录页面输入(用户名/密码组合)到 SQL 服务,将其与为该特定用户存储的数据库条目进行比较。假设指定的用户名和密码匹配数据库中的任何条目。在这种情况下,SQL 服务会将其报告给 Web 应用程序,然后 Web 应用程序将登录用户,让他们访问网站的受限部分。登录后,Web 应用程序将以 cookie 或身份验证令牌的形式为用户设置特殊权限,将他的在线状态与他在网站上经过身份验证的状态相关联。此 co
hack the box[HTB]web题之FreeLancer
qq_39682037的博客
04-27 2959
觉得是sql注入,让我来试一下 http://docker.hackthebox.eu:30643?id=1 尝试失败,再来看下页面 这是啥,好像发现了新大陆 http://docker.hackthebox.eu:30643/portfolio.php?id=-1 union select 1,group_concat(table_name),3 from information_s...
HTB(hack the box) FreeLancer
weixin_44215027的博客
12-21 3391
HTB(hack the box) FreeLancer 这是一道30points的web题。 提示: 你能测试我的网站有多安全吗?证明我错了,拿到flag! 进入网站: 继续往下浏览: 看到了这个,难道是xss?构造后send,提示: 看来不是xss,只能继续寻找。 然后我看到了: 一个长期存在的事实是,当读者在看一个页面的布局时,他们会被可读的内容分散注意力。 会不会在源码中? 查看...
startbootstrap-freelancer-gh-pages_template_TheTest_
09-30
《startbootstrap-freelancer-gh-pages:网页模板与开发者测试》 在IT行业中,创建一个吸引眼球且功能完备的网站是至关重要的。"startbootstrap-freelancer-gh-pages"是一个专为开发者设计的HTML模板,它为构建专业...
freelancer-sdk-python:官方Freelancer.com API SDK
05-04
适用于Freelancer.com API的Python库 这是的Python库。 使用此工具,您可以从Python应用程序与Freelancer.com进行交互。 它支持Python 2.7和Python 3(3.6+)。 有关Freelancer.com API的更多信息,请访问 。安装...
flint:Freelancer的解析器和API及其格式
03-16
flint ( Freelancer Intel )是Freelancer数据文件的独立于平台的解析器和ORM, 是Digital Anvil开发的Windows 2003空间模拟。 Freelancer的有趣之处在于,游戏世界可以完全在定义,该通常用于保存简单的配置数据...
modelo-contrato-freelancer:自由职业者模型
03-08
自由职业者模型 预防和治疗口蹄疫的必要条件 塞波西维尔,阿凡斯的左轮手枪和巧克力棒作为党派参加。 Isso Trazsegurançapara ambos os lados。 客户需要更多的帮助,请在客户确认后再发送给客户,或者在客户确认后...
Freelancer
03-27
自由职业者嘿,读者! 请看一下:) 。
LibrelancerFreelancer的重新实现
02-04
自由职业者 在C#和OpenGL中重新实现了2003 Space Game 。 当前正在Windows和Linux... Freelancer安装(建议使用Vanilla,某些mod可能有效) 制作说明 视窗 先决条件: 64位Windows 7或更高版本 Visual Studio
freelancer
03-20
【标题】:“freelancer”通常指的是自由职业者或者在各种项目中提供专业服务的人,他们不隶属于任何公司,而是自行接单、工作并管理自己的时间。在IT行业中,自由职业者广泛存在于编程、设计、写作、数据分析等多个...
Hirring-Freelancer-Website:通过ASPNET MVC,SQL Server,实体框架,C#招募Freelancer网站
03-09
“Hiring-Freelancer-Website”是一个基于ASP.NET MVC、SQL Server、Entity Framework和C#技术构建的在线招聘自由职业者平台。这个项目旨在为雇主和自由职业者提供一个交互式、安全且高效的沟通和合作环境。 **ASP...
freelancer_crm:这是一个供自由职业者代理管理联系人和保险单的开源 CRM
07-24
自由职业者客户关系管理 这是一个开源 CRM 网络应用程序,供自由职业保险代理人管理联系人、保险单和保险续签。 截图 登录 联系人 管理联系人和政策 续保 要求 安装前请安装以下要求 (或任何现代浏览器) ...
[HackTheBox]WEB题目
baguangman5501的博客
09-28 942
0x01 [50 Points] I know Mag1k 问题描述: Can you get to the profile page of the admin? 访问分配的地址,是一个带注册的登入页面: 尝试常规注入,无效 来到注册页面注册,再退出,在使用已有的用户名登入会发现有一个用户名枚举的漏洞 这时的一个思路就是先通过暴力破解,枚举出管理员的用户名,然后结合二次注入注册一个类...
web 百度杯 ctf 一道简单的sql 注入绕过题目 sql
qq_30435981的博客
07-28 1184
进入网页的时候看见这个hint,同时我们可以知道这是需要用ID的值去爆数据库,先用orderby查询表单的数量。 发现代码报错了,先试了下将空格换成/**/ &lt;&gt;发现都不行,最终发现这是需要把orderby和select  这些函数中间用&lt;&gt;隔开,同时试了下,到4就没有回显了。 我们就来爆数据库吧。 发现只有在2中有数据。 得到数据库:sqli。...
Hack The Box -----------------------Active
大方子
12-16 6924
这次的靶机是Hackthebox的Active 靶机IP地址:10.10.10.100 ======================================================================================== 信息收集 nmap -sV -sT 10.10.10.100  Kerberos在88,netbios-ssn在13...
Freelancer 是什么?
03-30
Freelancer 指的是自由职业者,即独立从事各种职业活动、不依附于任何一个公司或机构、自由选择客户和项目的人员。在网络时代,Freelancer 多指在网络平台上通过自己的技能或专业知识,以自由职业者身份接受雇主的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值