-
-
[原创]攻防世界fakebook关卡攻略
-
发表于:
2020-1-19 18:28
2020
-
首先我们进入到高手进阶区获取到题目
进来后题目场景会给我们提供一个IP地址
http://111.198.29.45:58599
首先通过brup对网站目录进行爬取,获取到一些有用的信息。
通过brup对网站进行爬取后,发现一个可疑路径file:///var/www/flag.php还发现了robots.txt文件。我们对robots.txt文件进行访问。
访问后发现一个可爬取的备份文件。进行访问,可以下载到源码。对代码进行审计,奈何代码0基础,先放着吧!
信息收集完毕。
点击 join填写信息后发现我们的页面进行了跳转
进入到下一个界面
发现no=1可疑的url,查看是否存在SQL注入
比较懒,通过sqlmap检测是否存在SQL注入
通过检测可以判断存在注入点可以进行注入,由于工具sqlmap过waf不太熟练下面手工进行注入
通过order by 判断列为4,大于4或小于均4报错,因此判断此列为4
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2021-2-4 14:51
被kanxue编辑
,原因: