中国计量大学现代科技学院
计量现科你大哥.
2019年10月
参赛形式:团队赛
参赛人员:The thor(队长)、hyj、马煜
声明:本文档是 计量现科你大哥 S队 为 xx大赛组委会 提交的“北邮网安杯”解题文档,文档的所有权归十三年 小涛 所有,任何对本文档的修改、发布、传播等行为都需要获得计量现科你大哥 S队 的授权,计量现科你大哥保留对违反以上声明的组织或个人追究责任,直至诉诸法律的权力。 |
---|
文档信息
文档名称 | 2019“xxx” 解题报告 | ||
---|---|---|---|
保密级别 | 公开 | 文档版本编号 | V1.0 |
制作人 | 小涛 | 制作日期 | 2019-10-11 |
复审人 | 马煜 | 复审日期 | 2019-10-11 |
适用范围 | 仅供 xx大赛组委会 审阅,及 计量现科你大哥内部 交流学习。 |
分发控制
编号 | 读者 | 文档权限 | 与文档的主要关系 |
---|---|---|---|
1 | xx | 编辑 | 项目的负责人,负责本文档的编写 |
2 | xx大赛组委会 | 读取,建议 | 项目的使用者,负责本文档的读取 |
版本控制
时间 | 版本 | 说明 | 修改人 |
---|---|---|---|
2019-10-1 | V1.0 | 解题报告编写。 | 马煜 |
显错注入题:
sqlmap -u url —dbs
sqlmap -u url —columns -D “webug”
sqlmap -u url —dump -D “webug” -T “flag”
黑吃黑题:
拿到这道题看到网址点开发现403
看到一个php文件,下载点开
这看起来像是一个复杂的一句话木马,想到了AWD1那道题
破解MD5值得到pass=123456
读解php代码(借助php手册)
得到连接密码为a
得到文件地址为.ssn.php
然后通过蚁剑连接他的一句话木马的后门
得到flag
感觉这道题和那道AWD1的区别就是那道题是我们自己上传一句话木马,然后找到木马的位置,然后用蚁剑连接自己上传的一句话木马的后门,得到flag
而这道题是通过php文件发现他的一句话木马,我们去解读php代码,找到木马的位置,然后连接他的一句话木马的后门,从而得到自己想要的东西
结合何总的话,懂了什么是黑吃黑
发表评论