jarvisoj_web_witerup

PORT51

PORT51.png

該題提示我們需要使用51端口進(jìn)入該站點(diǎn)
然而此站為http://web.jarvisoj.com:32770/ 它的端口已經(jīng)是確定了的,所以只能更改我們的port了。
本來用的是kali虛擬機(jī),不能通過外網(wǎng),命令如下
curl --local-port 51 http://web.jarvisoj.com:32770/
自己試試,我就懶得弄win上的curl命令了

LOCALHOST


LOCALHOST.png

這道題跟上面的很像啊,道理還是一樣的,就是通過localhost來訪問該站點(diǎn)咯


圖片.png

可以瞅瞅

Login
提示說要通過獲得密碼才能得到flag
第一個(gè)念頭就是用burpsuit。。得到了網(wǎng)站的response

圖片.png

這里可以看到一點(diǎn)小提示:Hint: "select * fromadminwhere password='".md5($pass,true)."'"
說明可以構(gòu)造:select * from admin where password='"or 1=1 這樣的繞過語句
so我們要找到一個(gè)password,這個(gè)password經(jīng)過md5加密后可以變成類似"or 1=1 之類的語句繞過
password:ffifdyop
這種題還是在別的地方見過幾次的,都是一樣的payload
ffifdyop.png

神盾局的秘密
F12里面啥都沒,就一段圖片的連接,剛開始沒注意,還以為問題出在圖片里隱寫了,后來也沒看出來,才想到了圖片鏈接的問題
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLmpwZw==
這個(gè)img后面肯定是base64了,解密看一下:http://web.jarvisoj.com:32768/showimg.php?img=shield.jpg
我們把showing.phpbase64編碼一下,得到c2hvd2ltZy5waHA=,然后放到"img= "后面,頁面爆出php代碼

showing.php.png

由此發(fā)現(xiàn),img參數(shù)可以打開任意文件,那么我們打開index.php文件,查看一下里面除了那個(gè)白頭鷹還有什么內(nèi)容。
http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw
index.php.png
并且里面可以看到了反序列化參數(shù)

在這里可以看到,又有一層php文件,我們跟著打開shield.php
http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==

flag.png

一開始還以為flag就拿到了,
圖片.png

結(jié)果發(fā)現(xiàn)并不是。。

仔細(xì)看看前面的php,我們可以利用通過class傳參到pctf.php得到內(nèi)容。


class.png

在index.php中傳參得到了flag


flag.png

IN A Mess
這個(gè)是一點(diǎn)辦法都沒有,一開始還以為問題出在id上,試了幾個(gè)id參數(shù)都一樣。然后burpsuit抓包也沒看出啥東西來。后來才知道是用phps來代碼審計(jì)

phps.png

通過if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)來獲得flag;
eregi()函數(shù)在一個(gè)字符串搜索指定的模式的字符串。
在這里我們需要傳遞的data為"1112 is a nice lab!" a參數(shù)由于設(shè)置了stripos($a,'.')限制,只能用php偽協(xié)議,這里附帶一個(gè)為協(xié)議的相關(guān)知識(shí):http://blog.csdn.net/Ni9htMar3/article/details/69812306?locationNum=2&fps=1;
php弱類型相等($id==0)>>id=a ;
strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)這里要求b參數(shù)長度大于5,and第一個(gè)字符為4,and第一個(gè)字符不等于4. 可以用00截?cái)嗬@過:b=%004123456
如圖:
圖片.png

讓我們繼續(xù)
出現(xiàn)了hi666
圖片.png

還以為是id=666有問題.png

報(bào)出了這個(gè)sql語句,可能是想讓我們sql注入,畢竟phps源碼沒了,讀不到文件了。


注入的提示.png

繼續(xù),爆出顯示位


圖片.png
database().png

不斷得到庫test 表content 字段 id,context,title 這后面就簡單一點(diǎn)了


result.png

RE?

flag在管理員手里


圖片.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • LOCALHOST 題目入口:http://web.jarvisoj.com:32774/ X-Forwarded...
    JasonChiu17閱讀 551評(píng)論 0 0
  • 我使用的是火狐瀏覽器 使用火狐瀏覽器的hackbar插件 如果有錯(cuò)誤的地方希望大家多多指出,多謝多謝 WEB2 點(diǎn)...
    yangc隨想閱讀 54,842評(píng)論 11 16
  • 一套實(shí)用的滲透測(cè)試崗位面試題,你會(huì)嗎? 1.拿到一個(gè)待檢測(cè)的站,你覺得應(yīng)該先做什么? 收集信息 whois、網(wǎng)站源...
    g0閱讀 5,159評(píng)論 0 9
  • 似曾相識(shí),你我都在經(jīng)歷 1 26歲,剛結(jié)婚 你媽問你:什么時(shí)候要孩子? 你說剛結(jié)婚,想自由幾年 你怕被束縛,更怕?lián)?..
    城南有北閱讀 927評(píng)論 0 0
  • 人生是一條沒有來回的單程線,它不能像千秋一樣在空中蕩來蕩去,那些起起伏伏是它的節(jié)奏,坎坎坷坷是它的曲調(diào),一程山一程...
    鐵臂阿童YAO_閱讀 266評(píng)論 0 11

友情鏈接更多精彩內(nèi)容