XCTF-高手进阶区:NewsCenter
生活随笔
收集整理的這篇文章主要介紹了
XCTF-高手进阶区:NewsCenter
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
題目:NewsCenter
目標:
bp的使用
sqlmap的post注入
Writeup
分析:
-
首先打開目標網址,發現有個搜索框,于是猜測是否存在sql注入或者xss
-
sql注入測試:搜索框中隨便輸入一個1
url欄沒有請求參數,無論怎么測試頁面都沒有返回值 -
xss測試:頁面也是沒有返回值,并且根據源碼可以看出,js代碼是沒有被過濾的,但卻利用失敗,所以這里就不存在xss漏洞
- 請求參數去哪了呢?于是又猜測是否是POST請求,我們打開bp,進行抓包查看,哎,有情況
sqlmap自動化注入
- 我們將這個request請求保存為xctfrequest.txt,使用sqlmap進行自動注入
參數 文本文件
-r REQUESTFILE Load HTTP request from a file
- 發現存在POST注入,繼續深入~
- 當然你也可以一次性把new數據庫內的內容全部爆出來,這樣就不用一步步找flag在哪了,直接了當,所以對于有目的,好尋找的我們可以使用第一種步步深入;如果比較難找,就第二種方法比較好
總結
以上是生活随笔為你收集整理的XCTF-高手进阶区:NewsCenter的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: x浏览器投屏插件怎么用(英语字母排列中第
- 下一篇: XCTF-高手进阶区:NaNNaNNaN