公开课靶场作业

木木   ·   发表于 2018-06-20 21:40:27   ·   CTF&WP专版
内容被隐藏,你需要回复主题后才可见.

打赏我,让我更有动力~

9 条回复   |  直到 2021-3-20 | 4002 次浏览

功夫不负有心人
发表于 2018-6-21

.


评论列表

  • 加载数据中...

编写评论内容

dk18397606232
发表于 2018-6-30

.

评论列表

  • 加载数据中...

编写评论内容

dk18397606232
发表于 2018-7-1

首先进行手工注入,发现存在注入漏洞,并利用漏洞进行注入攻击,获取管理员账户和密码

获得管理员密码之后发现这个网站并没有其他入口点,然后寻找其他入口点,进行旁站扫描发现另外一个站点,并且后台还是默认路径,这时候再次试一下是否存在注入漏洞,并发现有WAF过滤,这时候试着用cookie注入,并发现能够成功,最后获取此站的管理员账户密码,可是,密码是通过MD5加密的,我们可以通过MD5在线解密,成功获得密码。

最后登录后台发现,这是个假后台,然后我们可以通过后台扫描等工具,拿到了真正的后台,可是这个后台对登录者有识别功能,不过没关系,我们可以通过抓包来伪造我们的身份。最终进入了后台,但是不满足。于是继续,又发现了留言板存在xss漏洞。可以通过他来获得管理员cookie,进入后台上传木马,通过菜刀拿到了网站服务器的最高权限。。。。。。

评论列表

  • 加载数据中...

编写评论内容

黑8
发表于 2018-7-10

111

评论列表

  • 加载数据中...

编写评论内容

mrchen
发表于 2018-7-17

1

评论列表

  • 加载数据中...

编写评论内容

joker
发表于 2018-7-22

 。

评论列表

  • 加载数据中...

编写评论内容

lcuflh
发表于 2018-7-26

emmm

评论列表

  • 加载数据中...

编写评论内容

weakchicken
发表于 2019-12-30

1

评论列表

  • 加载数据中...

编写评论内容

danxiaomeng
发表于 2021-3-20

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.