Broken Trust
先注册一个UID
登录进来可以看到有一个管理员工具,我们还是个user
在Refresh Session Data这个功能中可以看到请求包上传了一个uid上去,我们在里面加一个单引号,直接报数据库错了,可以说明这有一个sql注入漏洞
可以看到三个地方都有回显
经过测试为sqlite注入,查表可以看到有一个users表
1 | |
查列名,可以看到有uid,username,role三列
1 | |
直接爆破出admin的uid
用admin的uid登录进来,文件备份工具就可以用了
继续抓包可以看到get传参有一个config.json文件,可以试试文件包含,我们直接改成/flag
被waf拦截了,不能直接用绝对路径
用相对路径发现flag文件找不到
直接flag也是一样,可以判断把../去掉了
既然不能直接绝对路径,那肯定是相对路径了,既然../会被去掉,我们直接..//flag
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur!
相关推荐
2026-03-31
AutoPypy
进来简单看一下,可以知道是个文件上传点,文件上传后再执行文件中的代码,题目给了源码 server.py为主程序 launcher.py利用proot命令创建一个沙盒环境,隔离性相当docker,用于安全执行代码 但是这里挂载的目录是读写模式,这就导致可以把python标准库文件给覆盖掉 12...
2026-03-29
DXT
是个mcp题目,一进来就是一个文件上传点,要求上传.dxt文件,相当于给ai上传一个服务,我们可以上传一个恶意文件,让ai将我们想要的东西发给我们 在这个题目中有很多字段是需要我们去试出来如果没有上传的时候就会报错,加上就可以了 写一个manifest.json 文件,意思是让ai用sh命...
2026-01-16
phar反序列化
1.打开靶场,有一个文件上传点,ctrl+u发现源码 2.把源码复制到html文件在浏览器打开看到反序列化代码,get传参的file的内容不能有flag字符串,提示flag在环境变量 123456如果上传文件会在当前目录生成upload目录uniqid将当前的秒数和微妙数转换成十六进制mo...
2026-03-29
only_real_revenge
在源码找到一个账号密码 登录上去是一个文件上传点,显示身份user,功能不可用,判断是要提权admin 先退出,再登录一次抓包 先放行一次,会又抓到一个请求包,里面有一个token 直接用jwt-cracker,爆破出密钥,为“cdef” 先上传一个png文件 抓包后把后缀改成....
2026-05-03
文件包含
php伪协议 file://文件路径:例, 1.win:file://C:/flag 2.file:///etc/passwd php://filter:例,php:/...
2026-04-30
文件上传
如果一句话木马已经不好传了,可以尝试直接传php语句,执行命令 单语句可以不写分号,如:<? system(‘ls’)?> 一句话木马1<?php @eval($_POST['pass']);?> 1<?= @eval($_POST[...