第九關(guān) URL跳轉(zhuǎn)

第九關(guān)題目：

看到的時(shí)候一臉懵逼。与学。彤悔。不管嘉抓，進(jìn)去再說，利用前面修改的賬號(hào)密碼（admin/654321）進(jìn)去蜗巧。進(jìn)去之后發(fā)現(xiàn)還是更改密碼的流程掌眠，還是不知道該怎么做蕾盯。幕屹。。既然題目是URL跳轉(zhuǎn)级遭，那么我們就先了解一下URL吧望拖。

統(tǒng)一資源定位符 URL 是對(duì)可以從因特網(wǎng)上得到的資源的位置和訪問方法的一種簡(jiǎn)潔的表示。

URL 給資源的位置提供一種抽象的識(shí)別方法挫鸽，并用這種方法給資源定位说敏。統(tǒng)一資源定位符

只要能夠?qū)Y源定位，系統(tǒng)就可以對(duì)資源進(jìn)行各種操作丢郊，如存取盔沫、更新、替換和查找其屬性枫匾。

URL 相當(dāng)于一個(gè)文件名在網(wǎng)絡(luò)范圍的擴(kuò)展架诞。因此 URL 是與因特網(wǎng)相連的機(jī)器上的任何可訪問對(duì)象的一個(gè)指針。

既然與訪問有關(guān)干茉，那么我們就查看一下該頁(yè)面的源碼谴忧，發(fā)現(xiàn)存在indenx.php存在url參數(shù)，如圖一所示：

圖一

既然存在url參數(shù)角虫，那么我們只要在登陸頁(yè)面在網(wǎng)址上添加“ndex.php?url=www.baidu.com”沾谓，即把url參數(shù)賦值為百度的首頁(yè)網(wǎng)址就可跳轉(zhuǎn)到百度，如圖二所示：

圖二

第十關(guān) 文件下載

點(diǎn)進(jìn)第十關(guān)戳鹅，竟然是這個(gè)樣子的均驶。。枫虏。妇穴。。

攻略中有提示通過查看根目錄或通過路徑爆破可以確定模软。那么就先試一下查看根目錄的方法伟骨。我首先搜索了一下網(wǎng)頁(yè)路徑的相關(guān)內(nèi)容，很幸運(yùn)找到了一篇非常容易理解的燃异。

鏈接：https://blog.csdn.net/wxjnihao/article/details/72867259

1：相對(duì)路徑

? ? ? ?以引用文件之網(wǎng)頁(yè)所在位置為參考基礎(chǔ)携狭，而建立出的目錄路徑。因此回俐，當(dāng)保存于不同目錄的網(wǎng)頁(yè)引用同一個(gè)文件時(shí)逛腿，所使用的路徑將不相同稀并，故稱之為相對(duì)。

以下為建立路徑所使用的幾個(gè)特殊符號(hào)单默，及其所代表的意義碘举。?

　　"./"? 代表目前所在的目錄。?

　　"../" 代表上一層目錄搁廓。?

　　"/"? ?代表根目錄引颈。

2：絕對(duì)路徑

? ? ? ? 其實(shí)絕對(duì)路徑與相對(duì)路徑的不同處，只在于描述目錄路徑時(shí)境蜕，所采用的參考點(diǎn)不同蝙场。由于對(duì)網(wǎng)站上所有文件而言，根目錄這個(gè)參考點(diǎn)對(duì)所有文件都是一樣的粱年，因此售滤，運(yùn)用以根目錄為參考點(diǎn)的路徑描述方式才會(huì)被稱之為絕對(duì)路徑。

---------------------

版權(quán)聲明：本文為CSDN博主「曉杰你好」的原創(chuàng)文章台诗，遵循CC 4.0 by-sa版權(quán)協(xié)議完箩，轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/wxjnihao/article/details/72867259

既然明白了我就開始嘗試了拉队。但是結(jié)果并不如我意弊知，我并不能完全找出來。于是我便通過路徑爆破來確定氏仗。對(duì)于路徑爆破我是相對(duì)熟悉了吉捶，使用birduster進(jìn)行目錄爆破。我們先在網(wǎng)址中返回上一層目錄即“../”皆尔，然后設(shè)置相關(guān)配置呐舔，如圖三所示：

圖三

點(diǎn)擊Start進(jìn)行爆破，爆破成功后我們就可以在目錄里查找慷蠕，題目是文件下載珊拼，那么我們需要查找的文件也要和下載有關(guān)的，很快流炕，我就發(fā)現(xiàn)存在download.php這個(gè)文件澎现，如圖四所示：

圖四

于是我就右擊使用瀏覽器打開該文件，如圖五所示：

圖五

然后我點(diǎn)擊“點(diǎn)我下載”后就發(fā)生了如圖六的錯(cuò)誤每辟，看url地址后發(fā)現(xiàn)存在fname參數(shù)：

圖六

我繼續(xù)查找爆破出來的目錄剑辫，發(fā)現(xiàn)該目錄下還存在一個(gè)db文件（db是database的縮寫，即是數(shù)據(jù)庫(kù)文件渠欺。每種軟件都有它自己的存放格式妹蔽，就是數(shù)據(jù)的排列方式。后綴名均為db。能用記事本胳岂、辦公軟件Microsoft Office Access打開编整，也能導(dǎo)入到UltraEdit、foxbase乳丰、SQL Server掌测、powerbuilder等數(shù)據(jù)庫(kù)軟件。）产园，如圖七所示：

圖七

于是我就使用瀏覽器打開這個(gè)文件汞斧，發(fā)現(xiàn)config.php這個(gè)配置文件，如圖八所示：

圖八

題目說通過提示下載文件淆两，那么我們不能直接下載這個(gè)文件断箫，而是要使用上面那個(gè)frame參數(shù)，現(xiàn)在開始構(gòu)造參數(shù)下載文件秋冰，為此構(gòu)造frame參數(shù)后面的數(shù)據(jù)體如下：**../../../pentest/test/6/1/db/config.php**,打開后網(wǎng)頁(yè)后我們就發(fā)現(xiàn)可以下載一個(gè)文件了，如圖九所示：

圖九

打開我們下載的文件就出現(xiàn)了mysql賬號(hào)密碼婶熬，也就是我們需要的答案剑勾，如圖十所示：

圖十