web380

先看源码没发现啥

然后再点点看看功能

发现文章页的格式为

page_n.php

猜测为sql注入

直接在n处注入无效

尝试?id=处注入

发现报错

file_get_contents(1'.php)

image-20221018212038190

直接读取flag?id=flag

flag出现

web381

再次尝试上题思路,发现无回显

再次翻看源码

发现到css文件中出现了一个特殊地址

image-20221018212406542

尝试打开,之后回退文件地址

直到退至/alsckdfy/出现flag

一些文件的调用可能会来自某些特殊的地址

如本题中后台和前站共用同一个css文件

其他如通过cdn、图床等溯源回网上仓库(github等)

即可查到源码,或找到后台等特殊地址

web382-383

继续访问上题出现的后台地址

发现出现了个后台登陆界面

既然难度是梯度上升

可以考虑弱密码或者万能密码

进入

flag get√

web384

hint:密码前2位是小写字母,后三位是数字

再次进入后台登录页面

用户名肯定是admin

然后就是爆破密码

方法一:写个脚本生成密码字典

方法二:使用burp爆破时

将password设为两个变量

image-20221019153048062

$1设置成小写字母长度:2

image-20221019153017681

$2设置成3位数字

image-20221019153029106

password=xy123

web385

登陆界面进不去

扫目录

发现有install没删

重置管理员密码

image-20221028144108992

一些网页模板的安装通常通过/install目录进行安装

部分开发人员忘记删除install等目录就会暴露出一些特殊的功能点

如重置密码功能点

模板名、版本号、配置信息等敏感信息

重置后密码为admin888

web386

再次访问install发现有个lock.bat给锁定住了

image-20221028151039705

最开始几道题是前端用了后端文件

这题回去访问前端的同名文件 即本来应该调用的前端页面

发现第一行注释

image-20221028150737179

访问clear :“清理成功”

回想到,install里的lock,直接删

clear.php?file=./install/lock.dat

这次访问install能重置了

image-20221028151345438

返回后台登录初始账户

387

发现robots

image-20221028151846193

提示debug,访问

提示file不存在

尝试get进去个file

image-20221028152040695

image-20221028152143283

使用log执行命令将lock删除

<?php unlink('/var/www/html/install/lock.dat');?>

image-20221028155008033

还有种执行方式是将命令通过读取文件显示回显

<?php system('==shell== > /var/www/html/1.txt');?>