小翔博客

攻防世界 web进阶练习 NewsCenter

佚名 5年前 (2019-06-22) Safe 1554人围观抢沙发百度已收录

攻防世界 web进阶练习 NewsCenter

题目是NewsCenter，没有提示信息。
打开题目，有一处搜索框，搜索新闻。考虑xss或sql注入，随便输入一个abc，没有任何搜索结果，页面也没有什么变化，考虑SQL注入。

随便输入234234234，用burp抓包，发现是post方式，直接用sqlmap爆破。
将http头保存为1.txt，试试用sqlmap爆数据库


查看news数据库内容sqlmap -r 1.txt -D news --dump

得到flag！

扫码关注我们

微信号：SRE实战

拒绝背锅运筹帷幄

SRE实战互联网时代守护先锋，助力企业售后服务体系运筹帷幄！一键直达领取阿里云限量特价优惠。

赞 0 赏分享

转载请注明 : 文章转载自小翔博客攻防世界 web进阶练习 NewsCenter

本文标题：攻防世界 web进阶练习 NewsCenter

本文链接：https://liuyixiang.com/post/102996.html

上一篇 : golang开发:环境篇(六) Go运行监控Supervisord的使用

下一篇 : 丢给你一个txt并同时获取你shell

评论列表暂无评论

发表评论

« 2024年2月 »
一	二	三	四	五	六	日
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29