【hackthebox】【Challenges】【Cartographer】

一个来自HTB的web挑战

问题陈述是这样的“ 一些地下黑客正在开发一个新的命令和控制服务器。你能闯入并看看他们在做什么吗？“并提交flag

====================================================================================

打开页面如下

【hackthebox】【Challenges】【Cartographer】

看下网页源代码

【hackthebox】【Challenges】【Cartographer】

第一反应的话就是去暴力**看有没有默认的账号密码和FUZZ下看有没有SQL注入

【hackthebox】【Challenges】【Cartographer】

这里我测试出了一个SQL注入，以上的payload返回的长度与其他的不一样，说明起了效果，这里我就选第一个

a' or 'a' = 'a

提交后的页面如下：

【hackthebox】【Challenges】【Cartographer】

网页提示，网页还在制作中。

这个时候的url如下

http://docker.hackthebox.eu:53075/panel.php?info=home

很明显info后面应该可以用来猜解下

我用dirbuster跑下来没有得到任何实质性的收获

【hackthebox】【Challenges】【Cartographer】

然后去网上找线索。

答案只是在info后面加个flag就可以了

【hackthebox】【Challenges】【Cartographer】