一、WEB
(1)一起来撸猫
flag藏在标签的注释内 <!--这是注释-->
(2)你看见过我的菜刀么
eval漏洞 利用蚁剑连接 连接密码就是要post传的参数
连接成功后在网站根目录发现了flag
(3)BurpSuiiiiiit!!!
附件下载地址:链接:https://share.weiyun.com/5WD42Vt 密码:zp5sy9 备用链接:http://geek.sycsec.com:44444/static/file/Burp.zip
下载后发现压缩包内是一个Extender.jar文件 利用BurpSuit的extender模块导入这个jar文件 发现flag
(4)性感潇文清,在线算卦:动作快点才能算到好卦。
F12发现关键信息 利用条件竞争解题
<!--$savepath = "uploads/" . sha1($_SERVER['REMOTE_ADDR']) . "/"; if (!is_dir($savepath)) { $oldmask = umask(0); mkdir($savepath); umask($oldmask); } if ((@$_GET['u']) && (@$_GET['p'])) { $content = '***************'; file_put_contents("$savepath" . sha1($_GET['u']), $content); $msg = 'Ding!你的算卦结果就在这儿啦! ' . $savepath . htmlspecialchars(sha1($_GET['u'])) . ""; echo $msg; usleep(100000); @$content = "you are too slow"; file_put_contents("$savepath" . sha1($_GET['u']), $content); } 试试条件竞争吧? -->
提交admin admin测试 发现uploads/*** 这个地址可以直接访问 告诉我们太慢了
而且uploads/后面的***会根据提交的不同的u和p参数而变化 所以我们这里就提交相同u和p参数保证uploads/***不变
利用Burpsuit不断提交表单攻击服务器
配置一下攻击类型 选择Sniper (狙击手) 使用单一的Payload组。对每个设置标记的参数分别进行爆破,攻击请求规模为标记数量与Payload数量的乘积
Sniper模式只用一个单一的payload组,所以我构造了一个数行都是admin的txt字典 导入即可 
开始攻击吧
既然不断提交表单攻击我们做到了,随后就要不断访问upload/***这个地址 看看它有什么特殊的输出 这里利用python编写脚本
import requests url = "http://148.70.59.198:42534/uploads/68f70768da4697f43a2978c5e8864065ee0d8e07/d033e22ae348aeb5660fc2140aec35850c4da997" while 1: r = requests.get(url) print(r.text)
发现flag
(5)Easysql: 最近我做了一个小网站,我把flag放在里面了,不过我没有把登陆密码告诉任何人,所以你们是拿不到flag的!
SQL注入即可 也可以使用简单的万能密码: admin/admin'||'1