登录框
打开网页是个登录框,首先要先根据这个网页的情景走一遍,判断是否是 SQL 注入。
现在是不能登录的,也就是说我们要先注册个账号。打开注册页面随便输入个用户名和密码注册,注意到这是需要输入生日和地址。
使用注册的用户名和密码登录,但是在选择 Manage 时网页说我不是 “admin” 管理员用户不能使用。
admin 登录
现在已经基本排除了 SQL 注入,也就是说我们要向其他办法用 admin 登录。注意到有个忘记密码的选项,该选择可以在密保问题答对的情况下(即生日和地址填写正确时)修改密码。
此时我们把修改密码的包抓下来看看,发现在提交新密码的包中,同时提交了用户名和新密码。
也就是说,此时我们可以把包的 username 变量修改为 admin,此时放包之后就能够修改 admin 用户的密码了。
username=admin&newpwd=abc
此时返回登录界面,输入 admin 和我们刚改的密码,成功用 admin 登录进来了。
本地登录
再次选择 Manage,但是此时我们还是不能访问,提示说我们的 IP 地址不支持该操作。
一般情况下 admin 管理员是本地登录的,因此我们要在包中添加 X-Forwarded-For 报头,值为 “127.0.0.1” 表示本地登录。
文件上传
终于能进入 Manage 页面了,但是没看到什么有价值的信息,F12 查看源码得到提示。
进入提示指示的页面,这明显是个文件上传。
想办法上传 php 一句话木马,试验发现存在文件名黑名单过滤和 Content-Type 判断,文件内容还会过滤 PHP 的语法。抓包修改后缀为 “php5”,Content-Type 为 “image/jpeg”,并在 post 数据中将 PHP 一句话木马改为用 JavaScript 表示。
<script language='php'>....</script>
放包查看网页,这道题省略了用 webshell 的过程直接给了 flag。总体来讲这题不是很难,但是综合运用了很多内容。
