公开课,尤里的复仇1,萌新也能找cms漏洞靶场
闲来无事,就做做这个靶场咯
进入靶场
- 发现很多前辈都测试了留言板功能,应该是想打xss,但是看了一下,都是没有成功的,那么xss这条路就断了
- 看了一眼注册功能,怎么办呢,先注册个账号吧
- 注册之后发现,修改资料
- 可以上传图片头像,那就妥了,试一下图片马,cat做一张
- 图片马上传,burp抓包,改一下后缀为php,放包
- 测试,OK,拿到shell
- 可惜的是找了半天,真的没有找到flag,但是在各种目录下面发现了很多一句话木 马
后续
2022年12月22日:
- 蚁剑连接之后,拿到了后台的管理员账号和密码,账号是admin,密码是123xxxufo(xxx我特地隐藏了),登进去之后还是没找到flag
- 找了cookie、数据库、虚拟机的C盘、D盘、E盘,只找到一个第五章:SYSTEM!POWER! 【配套课时:webshell控制目标 实战演练】的flag
- 这个靶场到底有没有flag?应该是真的没有的。
打赏我,让我更有动力~
登录后才可发表内容
返回首页
学习杂记
成风
发表于 9个月前
评论列表
加载数据中...