今天翻靶场的时候,突然发现居然有一个靶场只有15个人做出来了
于是我想着:如果我要是做出来我不就红了?
产生了这个”邪恶”的想法之后,我马上打开了靶场
绕过防护getshell?这不就是post注入吗
于是我打开了网站:
先用burp爆破试试看
准备工作完成,开始爆破!
直…直接成功了?
那直接使用爆破出来的账户密码登录后台
然后得找个上传点才能getshell啊
于是我打开网站设置,在基本设置里,发现有一个上传点:网站logo
为了测试方便,我已经提前上传好了木马
上传完毕之后,我们打开菜刀
按下鼠标右键后点击添加
输入刚刚上传文件获取到的路径
输入完毕之后点击添加,双击刚刚新建的shell
至于大家最期待的flag在哪里嘛。。。
大家去网站后台翻翻管理员表就看得到啦
初次写文,写的不好请见谅,欢迎提出意见,我会努力改正的
打赏我,让我更有动力~
© 2016 - 2023 掌控者 All Rights Reserved.
qiancheng
发表于 2020-9-19
至于原本的post注入嘛。。。
明天再写啦
评论列表
加载数据中...
Track-聂风
发表于 2020-9-23
我记得这个靶场是公开课靶场,Flag似乎第一开始有,后面拿掉了。不过具体你可以问问魔术手老师
评论列表
加载数据中...