hackthebox-Freelancer

hackthebox的webchallenge还剩下两题。昨天晚上自己挑了那道难度相对低点的题做了下,最后还是靠中间阅读了google上其他大佬的wp才拿到flag。我看百度上能找到这一题的题解不多，那这里自己就稍微记录一下做题过程。

首先进入页面得到的信息不多，基本上就是一个普通博客首页的模板，那么抓包尝试一下。 抓包

于是在source中看到被注释掉的内容提示了我们 /portfolio.php?id=1的存在。大概率需要注入。于是先访问看看。

页面如下。自己先试着改了下id的字段，令其为1，2，3都能正常显示（大概率是因为上面抓包时注释内容提示了我们这些id值是有效的，因为更改id值时会显示对应的不同图片）
然后令id=-1发现没有回显。有点盲注的味道了。不过我并没有急着使用盲注，而是直接union select 1,2,3.(按照一般注入尿性，基本是三个字段）发现居然正常回显并显示了2,3？所以这就是个一般的没任何过滤的注入了？果断常规套路爆表，发现有两个表，其中一个safeadmin看起来比较像有用的表，所以继续爆列，发现存在username跟password。那么应该就是这两个关键信息了吧。

用户名
密码

注意到这里爆出了的密码很奇怪，貌似是拿哈希加密过了吧。破解这种程度的密码貌似是只能跑字典?（没试过，希望有大佬教教我顺便告诉我怎么解密）

更难受的应该是知道了账号密码却不知道登录位置。。。这里先用上次做Fuzzy时的gobuster试了下，感觉效率不高。于是换成使用dirbuster来找可能存在的目录。
发现除了index.php 还有/administrat目录。登录进去后是登录框，输入之前爆出的账号密码果然不行。

登录

怎么办呢？这里尝试继续探测/administrat下的目录，发现除了index.php还存在panel.php。尝试访问,发现是302跳转到index.php.

难过了，这下虽说可以确定关键信息可能就在panel.php中，但到底要怎么去查看panel.php的内容呢？这里我又去寻求帮助，最后发现!
是要用到sqlmap的file-read功能（如果刚刚用sqlmap注入就可能会意识到这个问题了。。。）
payload如下：

sqlmap -u "http://docker.hackthebox.eu:38162/portfolio.php?id=1" --fiel-read=/var/www/html/administrat/panel.php

sqlmap

注入成功后会提示把读取的文件保存在某路径下。直接cat 读取即可。

panel.php

（这里没把flag截出来是手抽了。。。）

大概如此，在此分享并感谢大佬的wp：https://petircysec.com/hackthebox-ctf-freelancer/
另外近期jarvisoj的web还剩4题就全部ak了，不过有几道我下手后基本没做出来，，，总之会专门再写篇总结下。