shierbai的博客

这样在后续才可以完成文件包含，这里伪造cookie是为了执行里面的代码，不是单纯的绕过认证，这里不加cookie会默认让cookie为n1code，至于后面那个/article接口只是在有flag字样时候展示notallow.txt，并不能完成攻击得到flag。flask_session_cookie_manager3伪造cookie。得知这里涉及ssit注入和flask模板注入，但是不理解怎么识别出来的。不同目录也是输flag会出现，猜测有黑名单。-t 指的是加密密文（ssti）-s 指的是加密密钥。

但是这里配置/img没加/，那么认为没有被闭合好，并且只能是配置这边配好才可以闭合，外部输入的/不会影响我后面继续跨目录。可以加入../，会变成/HOME/imges/../而这里缺少，则可以通过img../去到autoindex设定的路径下比如原本是/HOME/imges/这里我理解是以/作为一种分割，配置这个就可以让人为加的../不生效。这里还可以借助这个错误的img的自动索引配置穿越到其他位置。错误配置导致，location缺少了一个/配置Nginx以避免目录遍历。指令来避免目录遍历尝试。

尝试无果，猜测是不是做了隐藏，之前有过要用伪协议做base64编码才会显示的。尝试跨目录，感觉应该就在这，级数增多就没有东西了。看样子要等价掉，可能对flag字样做了拦截。hackbar自带poc，稍作修改。

这里感觉是被处理了，但不确定是哪个字段有问题，根据前面concat应该没问题，猜测是select，from，where，试验之后发现对select做了检查和处理，但是可以大小写绕过，表名fl4g。不清楚哪个位置有sql问题，此处不清楚是要做脱库还是要绕过登录，都试一把。发现做绕过登录是绕过不了的，尝试注入出信息。可以看到开启错误提示大概率可以使用报错注入。解密一下test123!可以测试出存在名为admin账号。可以看到对错误信息不够模糊。裤子都脱了给我看这个？f12查看捕捉到提示。得到数据库名note。

使用githack工具dump下来网页即可。

2..index.php.swp这样的会触发下载，需要使用vim -r index.php.swp去做修复才能看。可以使用dirsearch的--delay n和-t n控制延时和线程数量避免429。访问robots.txt，访问里面给出的接口拿到第一部分flag。最后使用curl -o 1.swp xxxxxx（靶场url）1.使用目录扫描工具会遇到429请求过多。再vim -r 1.swp得到第三段。访问index.php~得到第二段。使用dirsearch扫描。