一.进入实验
1.打开后,简单看了一下,首先是让我们注册,然后登录:这里我随便注册一个
然后登录,登录后发现有几个功能,当点击manage时,提示要管理员才行。
2.所以这个地方我们想能不能获取到 admin 的账号,傻傻的我开始了一段时间的sql注入,但没有发现注入点。
退出后有个 Findwd 的功能:
这里我们输入我们注册的 username 和其他的信息,成功后显示如下:
那我们先用 Burp 抓一下包,将其拦截:
在这个里面我们发现我们这个修改密码的请求是通过post方式提交到后台进行验证的,
那我们能不能将username里的值改成admin,密码我们自己修改,是不是就可以用admin的身份进行登录?
3.修改成功,试一试可不可以登录:登录成功!我们马上点 manage,发现弹窗,ip不允许,应该只能内部人员的ip才能登录,
这里我们用Burp,在请求体中加入 X-Forwarded-For:127.0.0.1, 或者用firefox的插件,进行伪造。
改了之后,点击manage不会弹窗了,但没什么有用的东西,我们查看源码,发现给了我们一个提示
4.猜想这应该是一些隐藏的操作,我们 构造paylaod为 index.php?module=filemanage&do=download,或者upload/read/write,,,,,,
最后发现do=upload能够执行成功,出现一个文件上传的页面。
我们选择一个php文件进行上传,发现上传失败,以为是前端js做的限制,查看源码发现并不是,那猜测应该是对 .php 做了限制
看了网上一些常见可用作php解析的后缀 php3,php5,php7,pht,phtml,我同过抓包修改上传的文件后缀为 .php5,
结果还是不给过,显示这不是一张图片:
那我们猜测它应该是通过请求体中的 Content-Type: application/octet-stream,
发现并不是图片的文件类型,所以这里我们将图片的Content-Type将其替换掉,即 Content-Type: image/jpeg
但是结果不尽人意,还是被检测出来了是上传php文件,应该是<?php ?>这个被检测出来了,
据了解可以通过 <script language="php"> highlight_file(__FILE__);system($_GET['cmd']);<script>,也能达到解析php语句的目的。
我们再次修改:
最后拿到flag。。。。。
