1.SQL注入
先来看看题
万能密码来一波试试
通过尝试发现or和#都被过滤掉了,只能绕过了
开始进行绕过
登陆成功后得到第一个key(key1:kdhaenmp)
2.文件上传
先来看看题
首先F12查看下源码
然后找个php的码传一下
bp抓包看一下
直接传,发现不行,失败了
我们对参数进行修改下
就可以上传成功了
随便上传个图片,就可以发现上传文件的路径了
成了,接下来我们连接下蚁剑
蚁剑顺利的连接成功了
最后我们在网站的根目录www下找到了key.php
打开key.php找到了第二个key( key2:tmweqxsz)
3.文件包含
先来看看题
查看下url,发现了后缀为html的文件
然后我们直接访问下这个后缀为html文件
F12查看下页面的源代码
发现了preg_replace,明显是菜刀木马,用菜刀进行连接,密码:Hello
连接上后找到key.php
打开key.php,得到第三个key(key3:8x3manwq)
5.暴力破解
先来看看题
直接抓包开始爆破用户名和密码
找到了用户名和密码admin/123qwe
使用admin/123qwe登录
拿到了最后一个key(key5:ysxdecn8)
原文始发于微信公众号(CTS纵横安全实验室):PTE练习题2
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论