攻防世界 cat
进入环境让输入域名测试baidu.com无反应
测试管道符拼接命令执行
但是回显都是Invalid URL FUZZ测试以下
发现只有@可以使用当输入@的时候会将@url编码为%40
那我尝试输入一个十六进制值让这个十六进制值大于url编码范围看看会出现什么结果(url十进制范围0-127)
出现了一些报错信息我们将这些html代码复制来看看
发现了是Django的报错界面,做到这一步,联想到前面的@字符没有被过滤,比赛的时候有个提示
这边的大体意思就是结合@可以读取内容我们去那个报错页面发现Djangod的绝对路径
django项目下一般有个settings.py文件是设置网站数据库的路径,所以我们去读取settings文件,这里需要注意django项目生成时settings.py会存放在以项目目录下再以项目名称命名的文件夹下面。
同样出现html报错信息我们另存为html用浏览器打开看一下
发现关键信息用@读取数据库信息
这样我们就发现了flag
