-
-
[原创]攻防世界fakebook关卡攻略
-
发表于: 2020-1-19 18:28
-
首先我们进入到高手进阶区获取到题目
进来后题目场景会给我们提供一个IP地址
a04K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5I4x3g2)9J5k6e0p5&6z5q4)9J5k6e0t1&6i4K6u0W2y4o6g2Q4x3@1p5#2z5o6f1&6z5b7`.`.
首先通过brup对网站目录进行爬取,获取到一些有用的信息。
通过brup对网站进行爬取后,发现一个可疑路径file:///var/www/flag.php还发现了robots.txt文件。我们对robots.txt文件进行访问。
访问后发现一个可爬取的备份文件。进行访问,可以下载到源码。对代码进行审计,奈何代码0基础,先放着吧!
信息收集完毕。
点击 join填写信息后发现我们的页面进行了跳转
进入到下一个界面
发现no=1可疑的url,查看是否存在SQL注入
比较懒,通过sqlmap检测是否存在SQL注入
通过检测可以判断存在注入点可以进行注入,由于工具sqlmap过waf不太熟练下面手工进行注入
通过order by 判断列为4,大于4或小于均4报错,因此判断此列为4
最后于 2021-2-4 14:51
被kanxue编辑
,原因:
|
|
|---|---|
|
|
|
