Webug3.0 初级攻略 1-16关

其他 2020-03-12 10:20:22 阅读次数: 0

虚拟机下载路径:

链接:https://pan.baidu.com/s/19234CirAiVf3H820uWWNeg 

提取码:7jfs 

  • 第一关:很简单的一个注入

使用firefox 可以使用一个叫hackbar的插件,方便注入语句的测试

1.提交 ' 报错,可能存在注入点

还是一个字符型的注入漏洞

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1'

2.提交 1' or 1='1 会显示出所有信息

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' or 1='1

3. 使用order by 语句可以猜解这个数据表有多少个字段,目测就是4个了,当然有可能不是select * from tables_name:

order by 1

order by 2

order by 3 ······· 这个例子在order by 1--4 都是能够正确回显,直到order by 5 会出现报错,如图:

即这个表含有4个字段

该例子使用的测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' or 1=1 order by 5-- -

4. 使用联合查询 union select 出现显示位

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' union select 1,2,3,4-- -

此时也可以顺带把数据库的版本号,用户,和当前的数据库名字给查出

测试语句 http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' union select 1,database(),version(),user()#

5.查表和列名

表名都显示出来了,有comment,flag,good,user 4个表

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()-- -

显示出了user表的列名:uid,uname,pwd,bill

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name ='user'-- -

6.拖库

将user表的帐号密码给爆出来了

测试语句:http://172.27.73.13/pentest/test/sqli/sqltamp.php?gid=1' union select 1,2,group_concat(uname),group_concat(pwd) from user-- -

小结:当然我们还可以使用sqlmap的自动化工具来实验sql注入的测试,上述步骤主要是人工进行测试,后面会补充sqlmap是实现。 

  • 第二关 从图片中找有用的信息--未解决

第一眼的感觉,是不是一句话木马呀?

下载右键查询一下图片数据发现!!!

123.txt 密码 123 ???

将123.jpg改成123.rar,里面果然有一个123.txt的文档,里面的内容就是密码:123,如图

将123 提交数据,既然报错

小结:不知道是什么原因了,再看看网上面的大神怎么说吧。后续再补充结果。

  • 第三关 渗透网站的时候目录也很重要

题目说目录也很重要,是不是让我们扫描一下目录,顺便查看了一下这个页面的源码,果然是叫我们去扫描目录

该页面的路径为:http://172.27.73.13/pentest/test/san/index33.htm

用burpsuite扫描了一下目录,发现:

还有个一个叫test的文件和目录,路径替换一下咯

又弹出一个提示,用md5加密目录名?目录名应该就是test了

然后用test的md5密文 4621d373cade4e83 替换 test 看看出现什么

真是一个大傻逼了

  • 第四关 当遇到五位验证码的时候可以爆破

同标题没有任何关系啊,木有验证码,可能是让我们去爆破一下用户名密码吧,找找弱口令字典吧,顺带用burpsuite看看是不是帐号密码都是明文传输 ?

 

然而真的是明文传输,那就直接爆破吧。

tips : 使用burpsuite爆破密码的时候,如果想快速定位正确的帐号密码,可以使用grep的功能,截取关键字。

 

帐号密码,爆破出来了,admin / admin123

小结:burpsuit的爆破功能还是比较好用的。 

  • 第五关 一个特殊的注入,头部注入

说到http头部注入,一般有下列几类:

1.User-agent 浏览器版本 (少)

2.Referer 来源(少)

3.X-Forwarded-For 获取ip(高)

4.client_ip 获取ip(高)

可以测试一下 x-forwarded-for (xff)头部注入

burpsuite捉取请求

在repeater 修改请求 增加 X-Forwarded-For:127.0.0.1 看看返回什么,如图:

 

返回有数据库查询错误

那就可以构造语句获取数据库相关信息了

最后像第一关那样构建数据库注入语句就可以了或者相关信息了。

  • 第六关 支付问题:用最少的钱去购买到一本书

 

直接burpsuite抓包修改价格吧,现在余额是40.9

先抓个包看看看看是怎样一个情况

抓取到了,买99999999本,那么我把价格bill1 =10 更改为0,那就是0元购买

 

再回到浏览器上看看情况吧

小结:此前某电商的确爆出过类似这样的漏洞,任意修改金额数量的

  • 第七关 越权 

题目说明 :已知帐号密码 tom/123456

使用tom / 123456登陆后,观察url

 

用户名显示在url

捉包看看情况吧

若将包的用户名tom 修改为管理员admin,看看密码能否修改?发送去repeater修改

好像是成功了,重新登陆看看是不是将密码改为88888了

  • 第八关 CSRF -未解决

CSRF 模拟一个修改密码的页面诱导管理员点击页面,达到修改密码的目的,这里可以先构造一个页面

使用burpsuite可以构造一个csrf页面

 

将admin用户 密码修改为admin

copy html 生成csrf.html 页面上传到服务器,点击,然而并不能修改密码,再找找大神看看什么原因

  • 第九关 URL跳转

不明白,看源码

 

就是传输一个url参数吧

 

url 构造成这个样子

就是真样子吗?

  • 第十关 文件下载

路径不对哇,真实路径应该是 http://172.27.73.13/pentest/test/6/1/download.php

 

题目标题说是帮管理员找回mysql的密码,那么应该就是寻找配置文件了,遍历一下网站目录,发现

http://172.27.73.13/pentest/test/6/1/db/ 下有一个config.php 的文件,但是不能直接下载

我们可以尝试使用download.php来尝试下载,但是路径是不对的,试下利用../来进行路径跳转!

tips:./ 当前目录 ../ 父级目录 / 根目录

尝试一下构造路径,这里phpinfo.php是在根目录下(WWW)的,而点击“点我下载”的时候,会出现文件不存在报错,且也把路径给暴露出来了

即返回3层父目录就可以了

测试成功,证明这个download.php是可以进行下载的,现在构造config.php的路径了

路径:http://172.27.73.13/pentest/test/6/1/download.php?fname=../../../pentest/test/6/1/db/config.php

 

帐号密码出来了

小结:这里存在两个漏洞吧,一个是文件下载,一个是目录遍历

  • 第十一关 文件下载,和第十关有点不同

 

点击下载,路径啥都没变,要就抓包看看情况吧

 

这里直接修改pic参数,直接根据上一踢的config.php路径来构造吧。

 

  • 第十二关 我系统密码忘记了!--未解决

登陆帐号后

 

应该就是一句话木马了,上传一句话木马后,用菜刀神器就系获取服务器的sheel,不知道为什么暂时获取不了,可能是菜刀失灵了。都有可能是工具问题,后面再试一下。

  • 第13 14关 xss

13是反射型xss,14是存储型xss,就将这两个关卡放在一起写了,估计需要截图的地方不多

13 反射型xss

 

直接修改url,弹框吧,还是没有过滤的最基础的xss语句,<script>alert(/xss/)</script>

 

14 存储型xss

 

一个留言区,直接写入xss语句<script>alert(/xss/)</script> 估计也是没有过滤的,看看效果

 

还是弹出了,但是速度有点慢呢。

  • 第十五关 什么?图片上传不了?

哈 这题目有点搞笑,我真实上传一个图片发现,真的jpg反而上传不了

 

那就看看源码吧

 

这里是说 要type是需要image的,但是文件名是需要php后缀,一句话木马!用burpsuite改包试下吧

 

将content-type 改为image/jpge 就可以了吧,试下

 

上传成功

  •  第十六关 明天双11

这题目有点不知道怎么弄

剁手不是去淘宝就去京东吧,那就试下淘宝

 

提示只允许10.10.10.10 访问,那就捉包修改host吧

 

出现nonono 我就nonono了 不知道怎么接续下去,还是看看源码吧

 

源码的条件出来了,原来HTTP_REFERER 还需要是www.baidu.com

直接 改包吧

 

 

最后提交flag

最后:初级试题已经完成,后面再做下中级的试题,一直希望官方能出个正式的教程,让我们这些初学者学习一下。

skystephens
发布了12 篇原创文章 · 获赞 19 · 访问量 1万+
私信 关注

猜你喜欢

转载自blog.csdn.net/skystephens/article/details/87954893
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022