[限时投稿]-对接码平台的实战

cg1998   ·   发表于 2021-07-16 15:55:57   ·   技术文章投稿区

起因:偶尔需要注册新的账号,所以找了个接码平台使用,然后因为自己没有对接码平台测试过,所以就简单的看了看网站。

知识点:1.SQL注入,文件上传,存储型XSS


注册界面是这样的,直接扫目录发现,存在web.zip等目录

直接访问http://ip/houtai 发现到了后台目录


爆破了下口令没出来,然后抓包看了下发现注入。


直接扔sqlmap去了,因为库名就是IP所以码打的比较多。

成功登陆账号。

在后台找到个上传的地方


这里看来没有限制,直接抓包改后缀即可,这里有个小坑,如果你传的Content-Type不是image/png类型的话是无法传成功的,因为一般我都使用jpg传,所以会是imag/jpeg.


搞定,因为是VM linux 所以不知道怎么拿下。所以先放这里。
其实这里还有个前台的XSS可以直接打到后台的。


这里打XSS会直接传入到后台项目管理中


但是这里不知道是什么原因导致搞到的cookie都是无法进行利用,搞了几个接码站都是这样,但是这种前台直接打到后台的XSS大部分都存在。

用户名金币积分时间理由
Track-聂风 45.00 0 2021-07-16 17:05:17 限时活动额外奖励
Track-聂风 80.00 0 2021-07-16 17:05:02 很期待新的文章

打赏我,让我更有动力~

0 Reply   |  Until 18天前 | 151 View
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者