“web显错注入”和“misc黑吃黑”题解

中国计量大学现代科技学院

计量现科你大哥.

2019年10月

参赛形式:团队赛

参赛人员:The thor(队长)、hyj、马煜

声明:本文档是 计量现科你大哥 S队 为 xx大赛组委会 提交的“北邮网安杯”解题文档,文档的所有权归十三年 小涛 所有,任何对本文档的修改、发布、传播等行为都需要获得计量现科你大哥 S队 的授权,计量现科你大哥保留对违反以上声明的组织或个人追究责任,直至诉诸法律的权力。

文档信息

文档名称 2019“xxx” 解题报告
保密级别 公开 文档版本编号 V1.0
制作人 小涛 制作日期 2019-10-11
复审人 马煜 复审日期 2019-10-11
适用范围 仅供 xx大赛组委会 审阅,及 计量现科你大哥内部 交流学习。

分发控制

编号 读者 文档权限 与文档的主要关系
1 xx 编辑 项目的负责人,负责本文档的编写
2 xx大赛组委会 读取,建议 项目的使用者,负责本文档的读取

版本控制

时间 版本 说明 修改人
2019-10-1 V1.0 解题报告编写。 马煜

显错注入题:

sqlmap -u url —dbs

sqlmap -u url —columns -D “webug”

sqlmap -u url —dump -D “webug” -T “flag”

黑吃黑题:

拿到这道题看到网址点开发现403

看到一个php文件,下载点开

这看起来像是一个复杂的一句话木马,想到了AWD1那道题

破解MD5值得到pass=123456

读解php代码(借助php手册)

得到连接密码为a

得到文件地址为.ssn.php

然后通过蚁剑连接他的一句话木马的后门

得到flag

感觉这道题和那道AWD1的区别就是那道题是我们自己上传一句话木马,然后找到木马的位置,然后用蚁剑连接自己上传的一句话木马的后门,得到flag

而这道题是通过php文件发现他的一句话木马,我们去解读php代码,找到木马的位置,然后连接他的一句话木马的后门,从而得到自己想要的东西

结合何总的话,懂了什么是黑吃黑

相关推荐

发表评论

路人甲

网友评论(0)