[阿一网络安全]在查询字符串中利用服务器端参数污染

于 2024-08-20 19:06:39 发布
阅读量588 收藏 7
点赞数 13
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ayixy/article/details/141365916
版权

描述

要解决这个实验室,首先以管理员(administrator)身份登录,然后删除 carlos。

所需知识

要解决这个实验室,你需要掌握以下知识:

  1. 如何使用 URL 查询语法尝试修改服务器端请求。
  2. 如何利用错误消息来理解服务器端 API 如何处理用户输入。

这些内容在我们的 API 测试学院主题中有涵盖。

进入实验室

解决方案

1、 在 Burp 的浏览器中,触发管理员用户的密码重置操作。

2、 在 Proxy > HTTP history 中,注意 POST /forgot-password 请求和相关的 /static/js/forgotPassword.js JavaScript 文件。

3、 右键单击 POST /forgot-password 请求,选择 Send to Repeater。

4、 在 Repeater 标签页中,重新发送请求以确认响应是一致的。

在 HTTP history 中

5、 将 username 参数的值从 administrator 更改为一个无效的用户名,例如 administratorx。发送请求。注意到这会导致一个“Invalid username”(无效用户名)错误消息。

6、 尝试在服务器端请求中使用 URL 编码的 & 字符来添加第二个参数值对。例如,添加 URL 编码的 &x=y:

username=administrator%26x=y

发送请求。注意到这会返回一个“Parameter is not supported”(参数不支持)错误消息。这表明内部 API 可能将 &x=y 解释为一个单独的参数,而不是 username 的一部分。

7、 尝试使用 URL 编码的 # 字符来截断服务器端的查询字符串:

username=administrator%23

发送请求。注意到这会返回一个“Field not specified”(未指定字段)错误消息。这表明服务器端的查询可能包含一个额外的名为 field 的参数,而这个参数已被 # 字符移除。

8、 在请求中添加一个带有无效值的 field 参数,并在添加的参数值对之后截断查询字符串。例如,添加 URL 编码的 &field=x#:

username=administrator%26field=x%23

发送请求。注意到这会返回一个“Invalid field”(无效的字段)错误消息。这表明服务器端应用程序可能识别了注入的 field 参数。

9、 对 field 参数的值进行暴力破解:

  1. 右键单击 POST /forgot-password 请求,选择 Send to Intruder。

  2. 在 Intruder 标签页中,将 field 参数的值设置为 payload 位置,格式如下:

username=administrator%26field=§x§%23

        3. 在 Intruder > Payloads 中,点击 Add from list。选择内置的 Server-side variable names 负载列表,然后开始攻击。

        4. 查看结果。注意到带有用户名和电子邮件负载的请求都返回了 200 响应。

10、 将 field 参数的值从 x# 更改为 email:

username=administrator%26field=email%23

发送请求。注意到这会返回原始的响应。这表明 email 是一个有效的字段类型。

11、 在 Proxy > HTTP history 中,查看 /static/js/forgotPassword.js JavaScript 文件。注意密码重置端点,它涉及 reset_token 参数:

/forgot-password?reset_token=${resetToken}

可知密码修改是通过 token 鉴权

接下来想办法获得 token

12、 在 Repeater 标签页中,将 field 参数的值从 email 更改为 reset_token:

username=administrator%26field=reset_token%23

发送请求。注意到这会返回一个密码重置令牌。记下这个令牌。

读取 token

成功读取 token

13、 在 Burp 的浏览器中,将密码重置端点地址输入到地址栏中,并将你的密码重置令牌作为 reset_token 参数的值添加。例如:

/forgot-password?reset_token=123456789
###获取token###
/forgot-password?reset_token=n4wdpwaulzr1jqef23e0zj65u4t60a6f
###拼接链接###

https://0a13002204ca32d1853f4546004700f9.web-security-academy.net/forgot-password?reset_token=n4wdpwaulzr1jqef23e0zj65u4t60a6f

14、 设置一个新密码。

15、 使用你的新密码作为管理员用户登录。

16、 进入管理面板,然后删除 carlos 以解决实验室。

网安大队长阿一
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿一网络安全学院干货科普篇之应急响应【下】
qq_69775412的博客
06-18 779
概念:存在于web服务器端的脚本后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境特性:与服务端正常脚本运行原理相同。可以绕过防火墙对主机进行操作。可进行文件上传、下载、命令执行等。webshell操作权限取决于解析器运行权限2、一句话木马概念:通过向服务端提交一句简短代码,配合本地客户端来实现webshell功能特性:变形多,易隐藏、难发现NTFS文件系统文件可以存在多个数据流,其他文件流可以寄宿在主文件流(流寄托于宿主)。
谓词归结逻辑第三版,彻底修改错误,此处特别鸣谢阿一同学的监工与验收
03-13
人工智能实验
阿一网络安全实战演练之利用 REST URL 服务器端参数污染
Ayixy的博客
08-15 837
3. 将 username 参数的值从 administrator%3F 改为 ./administrator,然后发送请求。4. 将 username 参数的值从 ./administrator 改为 ../administrator,然后发送请求。这表明请求可能访问了一个无效的 URL 路径。2、 在 Proxy > HTTP history ,注意到 POST /forgot-password 请求和相关的 /static/js/forgotPassword.js JavaScript 文件。
阿一网络安全学院学习2个月实战内网渗透练习之拿下Win7
Ayixy的博客
06-05 715
use auxiliary/scanner/db2/db2_version #探测内⽹的db2服务,基于默认的50000端⼝。use auxiliary/scanner/http/http_version #发现内⽹http服务,基于默认80端⼝。use auxiliary/scanner/smb/smb_version #发现内⽹smb服务,基于默认的445端⼝。use auxiliary/scanner/rdp/rdp_scanner #发现内⽹RDP服务,基于默认3389端⼝。
HVV就绪!你还在围观考虑吗?
qq_69775412的博客
03-22 2847
(Token:服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。是一种常见的Web安全漏洞,主要形成的原因是在数据交互,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句后,被当作SQL语句的一部分执行。国家级的实战经验,不仅是非常好的锻炼机会,也是简历上浓墨重彩的一笔,对今后的工作大有裨益。
关于gopher协议的ssrf攻击
qq_69775412的博客
04-26 3110
Gopher协议浅析 Gopher协议是internet的一个信息查找系统,俗称万能协议,可以通过gopher访问对应计算机上的其他资源,例如利用gopher实现:GET请求,POST请求,内网的redis,mysql(以及各类关系型数据库)未授权访问,以及MongoDB,Memcache等。 协议详情 端口 默认为70端口,可以自定义 协议格式 gopher://127.0.0.1:70/_[data] “
冰歇webshell初探
qq_69775412的博客
04-22 5535
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
经典SQL语句
xiaoyu714543065的专栏
03-26 724
Java代码   阿一、基础   1、说明:创建数据库   CREATE DATABASE database-name    2、说明:删除数据库   drop database dbname   3、说明:备份sql server   --- 创建 备份数据的 device   USE master   EXEC sp_addumpdevice 'disk', 'testBack'
新特性总结-JDK1.4
无为而治
08-16 572
JDK1.4的修改和新增特性
经典sql语句.论坛里转载来的
ansjsun的专栏
11-15 141
[code="java"]阿一、基础 1、说明:创建数据库 CREATE DATABASE database-name 2、说明:删除数据库 drop database dbname 3、说明:备份sql server --- 创建 备份数据的 device USE master EXEC sp_addumpdevice 'disk', 'testBack', 'c:\mssql...
阿一鲍鱼-阿一鲍鱼1980.docx
11-25
阿一鲍鱼-阿一鲍鱼1980.docx
最全全新英语国际音标表附文读音.doc
09-30
- `/ə:/` 额(长音),嘴唇微开,舌尖不接触下齿,舌部稍抬起,类似"er"在单词"bird"的发音。 - `/ə/` 额(短音),与/ə:/相似,但发音更短,口腔更为放松。 3. **后元音**: - `/ɑ:/` 啊(长音),口腔...
Oracle 11R2 官方文档(英对照版,PDF)
03-16
Oracle 11gR2是Oracle数据库的...通过阅读这些文档,开发者和DBA可以深入了解Oracle数据库的运行机制,优化查询性能,保障数据安全,以及高效地管理数据库实例。对于Oracle的学习者来说,这是一份非常宝贵的参考资料。
餐菜谱.doc
09-20
- **红烧阿一鲍鱼**:阿一鲍鱼是高级海鲜,红烧做法让鲍鱼的鲜美与调料充分融合,是一道昂贵的奢华佳肴。 - **海参扣鹅掌**:海参和鹅掌的组合,营养丰富,口感滑嫩,是宴会常见菜品。 3. **面点**: - **野菜...
怎么在网络攻击屹立不倒
dexun123的博客
08-12 1042
在当今蓬勃发展的网络游戏产业,服务器安全无疑是企业生存与发展的基石。面对互联网环境无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
特洛伊木马:现代网络安全的隐形威胁
weixin_48579910的博客
08-16 617
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活更加安全地航行。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-20 206
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
最新发布
A526847的博客
08-20 321
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
python 字符串转时间
07-28
可以使用`datetime`模块来将字符串转换为时间。以下是一个示例代码: ```python from datetime import datetime # 字符串时间 str_time = '2021-10-01 10:30:00' # 字符串转时间 time_obj = datetime.strptime(str_time, '%Y-%m-%d %H:%M:%S') print(time_obj) ``` 在上面的代码,`strptime()`函数将字符串时间按照指定的格式解析为一个时间对象。`%Y`表示四位数的年份,`%m`表示两位数的月份,`%d`表示两位数的日期,`%H`表示24小时制的小时数,`%M`表示分钟数,`%S`表示秒数。 输出结果将会是一个时间对象,你可以根据需要进一步操作、格式化或比较时间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值