搜索
查看: 2427|回复: 0

记对一次认证网站的渗透测试

[复制链接]

288

主题

420

帖子

916

积分

vip用户

Rank: 6Rank: 6

积分
916

注册会员活跃会员热心会员

QQ
发表于 2020-11-4 10:57:41 | 显示全部楼层 |阅读模式

那是一个夜黑风高的夜晚,身为单身狗的我看到冷冰冰的床。让我不禁感叹起来人生的不如意。都一把年纪了仍是单身,想想今夜又难于入眠!忽然右下角 QQ 头像闪都起来,打开一看是一位 貌若天仙 亭亭玉立 千娇百媚 ……的女子给我发来一段消息。此刻荷尔蒙瞬间爆表,那还有心思睡觉。我仔细阅读这位美女发来的消息,原来是想和我成为好朋友,并且 QQ 空间有她最近的照片。几十年单身狗的手速可不是盖的,瞬间打开的美女发来的链接。

看那婀娜多姿的身姿,看那水灵秀气的皮肤,又一次让我的荷尔蒙爆表。 冲动的我立马输入账号信息想查看更多的靓丽的照片。可是怎么都打不开……

不识庐山真面目

好家伙,感情又是骗我单身狗,这岂能容忍! 认真分享这个网站,是一个很典型的认证网站。都怪刚才冲昏了头脑,居然没有发现。

感受单身狗的力量

从被窝从掏出我的神器Burp抓包分析。 发现直接将表单的值保存到了数据库,这还用说直接post注入。 随便输入一个账号和密码,用burp抓包。并且copy to file存为22.txt 再次从被窝中拿出神器sqlmap进行sql注入

sqlmap  -r  `22.txt` --dbs

进行数据库注入,如下成功得到数据库信息! sql.png 获取相应的表信息 但是遗憾的是,并没有找到后台登录登录地址。难道就这样放弃。

柳暗花明又一村

给post请求添加特殊符号,发现报错。得到绝对路劲。 556.png 直接利用--os shell命令,上传一句话。成功拿下shell。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
有没有参加CTF比赛的,一起组队啊!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表