1.进入项目界面
图1 项目主界面
2.访问任意不存在的目录路径报错,提示存在demo接口
图2 提示存在接口
3.访问/demo/,提示有一个name参数
图3 发现隐藏参数
4.对接口参数进行fuzz(实战思路),vulfocus已经给出了/demo?field=demo.name
先下载项目arjun
安装:pip install arjun
或者下载github项目,使用python安装
python setup.py install
图4 cmd进入工具路径
图5 安装arjun
图6 安装成功
然后我们输入单个url进行扫描
arjun -u http://123.58.224.8:59122/demo/
图7 单url扫描
5.对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag
图8 正常界面
图9 页面返回flag
图10 flag找寻
图11 提交
图12 通过