i春秋-第三届“百越杯”福建省高校网络空间安全大赛-Do you know upload?

Posted tlbjiayou

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了i春秋-第三届“百越杯”福建省高校网络空间安全大赛-Do you know upload?相关的知识,希望对你有一定的参考价值。

进去提示有提示文件包含漏洞

拿到源码发现这里上传验证只有MIME验证 可直接抓包改 image/gif 绕过 

接下来就是这次学到的点了 

技术图片

 

 菜刀连接过后怎么都找不到flag文件,但是这里找到了数据库配置文件

技术图片

 

这里显示了服务器名 和 用户名和密码还有数据库名

 

这里猜想答案应该在数据库里,然后直接编辑

技术图片

 

T 数据库类型 H 服务器名 u 用户名 p 密码

然后管理数据库

技术图片

 

 发现什么都没有

尝试改动上面的语句

技术图片

 

 

 回车拿到flag

 

 

以上是关于i春秋-第三届“百越杯”福建省高校网络空间安全大赛-Do you know upload?的主要内容,如果未能解决你的问题,请参考以下文章

第三届上海市大学生网络安全大赛 i春秋CTF Web解题思路

第四届江西省高校网络安全技能大赛 复现 2021-09-30

i春秋首届全国数据安全大赛部分复盘

第二届全国技能大赛(世赛项目)福建省选拔赛 网络安全项目任务书

第四届江西省高校网络安全技能大赛初赛部分Writeup

第四届江西省高校网络安全技能大赛初赛部分Writeup