一、WEB
(1)一起來擼貓
flag藏在標簽的注釋內 <!--這是注釋-->
(2)你看見過我的菜刀么
eval漏洞 利用蟻劍連接 連接密碼就是要post傳的參數
連接成功后在網站根目錄發現了flag
(3)BurpSuiiiiiit!!!
附件下載地址:鏈接:https://share.weiyun.com/5WD42Vt 密碼:zp5sy9 備用鏈接:http://geek.sycsec.com:44444/static/file/Burp.zip
下載后發現壓縮包內是一個Extender.jar文件 利用BurpSuit的extender模塊導入這個jar文件 發現flag
(4)性感瀟文清,在線算卦:動作快點才能算到好卦。
F12發現關鍵信息 利用條件競爭解題
<!--$savepath = "uploads/" . sha1($_SERVER['REMOTE_ADDR']) . "/"; if (!is_dir($savepath)) { $oldmask = umask(0); mkdir($savepath); umask($oldmask); } if ((@$_GET['u']) && (@$_GET['p'])) { $content = '***************'; file_put_contents("$savepath" . sha1($_GET['u']), $content); $msg = 'Ding!你的算卦結果就在這兒啦! ' . $savepath . htmlspecialchars(sha1($_GET['u'])) . ""; echo $msg; usleep(100000); @$content = "you are too slow"; file_put_contents("$savepath" . sha1($_GET['u']), $content); } 試試條件競爭吧? -->
提交admin admin測試 發現uploads/*** 這個地址可以直接訪問 告訴我們太慢了
而且uploads/后面的***會根據提交的不同的u和p參數而變化 所以我們這里就提交相同u和p參數保證uploads/***不變
利用Burpsuit不斷提交表單攻擊服務器
配置一下攻擊類型 選擇Sniper (狙擊手) 使用單一的Payload組。對每個設置標記的參數分別進行爆破,攻擊請求規模為標記數量與Payload數量的乘積
Sniper模式只用一個單一的payload組,所以我構造了一個數行都是admin的txt字典 導入即可 
開始攻擊吧
既然不斷提交表單攻擊我們做到了,隨后就要不斷訪問upload/***這個地址 看看它有什么特殊的輸出 這里利用python編寫腳本
import requests url = "http://148.70.59.198:42534/uploads/68f70768da4697f43a2978c5e8864065ee0d8e07/d033e22ae348aeb5660fc2140aec35850c4da997" while 1: r = requests.get(url) print(r.text)
發現flag
(5)Easysql: 最近我做了一個小網站,我把flag放在里面了,不過我沒有把登陸密碼告訴任何人,所以你們是拿不到flag的!
SQL注入即可 也可以使用簡單的萬能密碼: admin/admin'||'1