随笔分类 -  攻防世界

摘要：打开链接是一个上传文件的窗口，随便上传一个PDF文件提示必须上传图片，查看源代码，要求必须输入png或jpg格式文件才会上传成功，想到通过修改源代码删除上传限制条件，上传一句话木马，通过中国菜刀进入后台。 修改源代码上传php一句话木马。 木马文件如下：“zm”为连接菜刀密码 修改限制条件之后上传成 阅读全文

摘要：用winhex打开，发现是一个javascript代码。将文件重命名为html文件，用浏览器打开。 打开是一个输入框，输入任何东西都梅反应，尝试弹框输入也无果，继续查看代码。 查看代码，可以看到最开始的下划线“_”是一个变量，其内容是一个函数的代码，而最后又是一个eval(_)，也就是执行这个函数了 阅读全文

摘要：进行后台扫描，发现一个robots.txt，进入之后说存在fl0g.php，进入即可得flag. cyberpeace{73279bc0d3c28ba6da4d1d3d530e7c16} 阅读全文

摘要：打开文件发现有个搜索框，考虑是XSS或SQL注入，输入弹框语句不显示考虑到SQL注入，抓包将抓包信息保存为txt,用sqlmap爆破。 输入：sqlmap -r “sql.txt”,输出如下数据库版本信息为MYSQL 接着输入：sqlmap -r “sql.txt” --current-db 输出当 阅读全文