公开课靶场作业

木木   ·   发表于 2018-6-20   ·   CTF&WP专版
The content is hidden and you need to reply to the topic before it becomes visible.

打赏我,让我更有动力~

8 Reply   |  Until 9个月前 | 957 View

功夫不负有心人
发表于 2018-6-21

.


评论列表

  • 加载数据中...

编写评论内容

dk18397606232
发表于 2018-6-30

.

评论列表

  • 加载数据中...

编写评论内容

dk18397606232
发表于 2018-7-1

首先进行手工注入,发现存在注入漏洞,并利用漏洞进行注入攻击,获取管理员账户和密码

获得管理员密码之后发现这个网站并没有其他入口点,然后寻找其他入口点,进行旁站扫描发现另外一个站点,并且后台还是默认路径,这时候再次试一下是否存在注入漏洞,并发现有WAF过滤,这时候试着用cookie注入,并发现能够成功,最后获取此站的管理员账户密码,可是,密码是通过MD5加密的,我们可以通过MD5在线解密,成功获得密码。

最后登录后台发现,这是个假后台,然后我们可以通过后台扫描等工具,拿到了真正的后台,可是这个后台对登录者有识别功能,不过没关系,我们可以通过抓包来伪造我们的身份。最终进入了后台,但是不满足。于是继续,又发现了留言板存在xss漏洞。可以通过他来获得管理员cookie,进入后台上传木马,通过菜刀拿到了网站服务器的最高权限。。。。。。

评论列表

  • 加载数据中...

编写评论内容

黑8
发表于 2018-7-10

111

评论列表

  • 加载数据中...

编写评论内容

mrchen
发表于 2018-7-17

1

评论列表

  • 加载数据中...

编写评论内容

joker
发表于 2018-7-22

 。

评论列表

  • 加载数据中...

编写评论内容

lcuflh
发表于 2018-7-26

emmm

评论列表

  • 加载数据中...

编写评论内容

weakchicken
发表于 9个月前

1

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部

掌控者 © 2016. All Rights Reserved. 掌控者

Powered by 掌控者 Version 2.1.3