首页
社区
课程
招聘
[原创]攻防世界fakebook关卡攻略
发表于: 2020-1-19 18:28 2020

[原创]攻防世界fakebook关卡攻略

2020-1-19 18:28
2020


首先我们进入到高手进阶区获取到题目

进来后题目场景会给我们提供一个IP地址

http://111.198.29.45:58599


首先通过brup对网站目录进行爬取,获取到一些有用的信息。




通过brup对网站进行爬取后,发现一个可疑路径file:///var/www/flag.php还发现了robots.txt文件。我们对robots.txt文件进行访问。

访问后发现一个可爬取的备份文件。进行访问,可以下载到源码。对代码进行审计,奈何代码0基础,先放着吧!



信息收集完毕。


点击 join填写信息后发现我们的页面进行了跳转




进入到下一个界面




发现no=1可疑的url,查看是否存在SQL注入




比较懒,通过sqlmap检测是否存在SQL注入


通过检测可以判断存在注入点可以进行注入,由于工具sqlmap过waf不太熟练下面手工进行注入

通过order by 判断列为4,大于4或小于均4报错,因此判断此列为4


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-2-4 14:51 被kanxue编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 300
活跃值: (2532)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
mark
2020-3-17 23:18
0
游客
登录 | 注册 方可回帖
返回
//