webgoat

最新推荐文章于 2024-05-31 15:59:54 发布
最新推荐文章于 2024-05-31 15:59:54 发布
阅读量399 收藏 1
点赞数
文章标签: web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frutrue/article/details/125744190
版权

Webgoat挑战刷关:

第一关:
在这里插入图片描述
提示:Admin管理员丢失密码
一开始想到爆破,后面发现太蠢了有点。。。万一人家的密码设置的稍微有点复杂,那我这老年机还不跑废了啊。
然后我想着用sql注入的万能密码:
在这里插入图片描述
发现也给限制死了,然后我看了一下某位大佬的方法,发现是最上面那个图片有问题,图片隐写,我尝试下载下来看看
在这里插入图片描述
果然搜索到了admin账号的密码,然后登录提交flag就行了。

第二关:
在这里插入图片描述提示我们要用Larry登录,但是我们并不知道Larry的密码,先用burpsuite抓包看看
在这里插入图片描述在password处尝试一下密码注入吧,
在这里插入图片描述果然成功了,发现flag,提交!

第三关:
在这里插入图片描述提示我们最好用tom身份登录,这样比larry登录简单一些,但是我们并不知道tom的账户密码。先尝试抓包删除password参数提交,不行;再尝试密码注入,都不行。
旁边还有个注册的模块,我们尝试注册一下:
在这里插入图片描述发现注册的用户并不能登录,我们尝试一下注册tom
在这里插入图片描述我们发现tom这个用户是存在的,并且不能再重新注册,直接丢sqlmap里面去看看有没有注入
在这里插入图片描述发现有三种注入,我们选择布尔盲注,先用bp抓包
在这里插入图片描述构造payload,然后发现tomqw’ and length(password)=1–返回值为真,那么说明存在password字段,那么大概率这个字段也是用来存储密码的。
紧接着我们手工盲注找回显的差别:
在这里插入图片描述在这里插入图片描述
发现当查看password第一个字符时,如果存在就返回already exist,如果不存在就会创建,
所以我们接下来用爆破
在这里插入图片描述在这里插入图片描述在这里插入图片描述然后添加个区别的字符
在这里插入图片描述然后开始爆破
在这里插入图片描述发现确实出现密码了,整理一下字符,发现密码是thisisasecretfortomonly,然后登录,提交flag!

大都是泡沫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebGoat通关教程
锋刃科技的博客
05-05 1万+
这里我们用docker镜像一键搭建即可 用docker命令开启webgoat docker run -d -p 8081:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf 打开192.168.109.131:8081/WebGoat和192.168.109.131:9090/WebWolf能打开即可 192.168...
【详解】webgoat Web渗透测试平台Injection单元 攻略
M0nH1N的博客
08-15 2540
一、什么是webgoatWebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了
WEB攻防-JAVAWEB项目常见漏洞
最新发布
weixin_45534587的博客
05-31 853
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
Webgoat学习笔记
swordheart的博客
04-26 2788
0x00 安装 WebGoat的版本区别 WebGoat是一个渗透破解的习题教程,分为简单版和开发版,GitHub地址. 简单版安装 简单版是个JAVA的Jar包,只需要有Java环境,然后在命令行里执行 1 2 3 <code>#!bash java -jar webgoat-container-7.0.1-war-exec.jar </code> 然后就可以访问"127.0.0.1
webgoat全关教程手册
热门推荐
黑白的博客
11-08 5万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、WebgoatWebwolf WebgoatWebwolf jdk1.8不支持了,需要安装jdk11 去git上下载WebgoatWebwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
【2022】WebGoat的安装与测试
既来之,则留之
03-17 7645
WebGoat环境搭建
WebGoat通关攻略
weixin_45539802的博客
01-06 2万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
webgoat7.1
05-17
WebGoat 7.1 是一个著名的网络安全学习平台,专门设计用于教授和实践Web应用程序安全。这个项目由OWASP(开放网络应用安全项目)维护,它包含了一系列精心构造的漏洞,帮助用户了解并防御常见的Web攻击,如SQL注入、...
WebGoat通关详解.zip
03-22
WebGoat是一个知名的在线安全训练平台,主要用于教授和实践Web应用程序的安全漏洞和防御技术。它由OWASP(开放式网络应用安全项目)开发,是许多网络安全专业人员和爱好者学习Web安全的首选工具。"WebGoat通关详解....
webGoat7.1
08-01
WebGoat7.1是一个知名的在线安全学习平台,专门用于教授和实践Web应用程序安全相关的技能。这个项目由OWASP(开放网络应用安全项目)维护,是网络安全专家们用来提升自身和他人对抗Web应用攻击能力的重要工具。...
使用IDEA启动WebGoat方法步骤
09-27
使用IDEA启动WebGoat方法步骤+源码; 1、启动请参考:使用IDEA启动WebGoat方法步骤.docx 2、访问地址: WebGoat will be located at: http://localhost:8080/WebGoat WebWolf will be located at: ...
如何搭建 WebGoat 靶场保姆级教程(附链接)
Flag少侠的博客
01-30 4573
如何搭建 WebGoat 靶场保姆级教程
6.4 Web安全漏洞学习平台:WebGoat的使用
qq_55202378的博客
08-14 3406
webgoat JDK
Web安全WebGoat || VulApps 靶场搭建( 靶场漏洞测试和练习)
网络安全领域___专研者.
06-16 2506
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。 Vulapp收集各种漏洞环境,为方便使用,统一采用 Dockerfile 形式,同时也收集了安全工具环境.
WebGoat通关详解
chengede98的博客
03-22 1198
通过完成WebGoat的通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
WebGoat笔记】
tzh2009的专栏
06-19 3294
文章来源:http://www.cnblogs.com/jonniexie/category/250726.html 主要内容:WebGoat的安装(略),内部访问方法与后续需要使用的Firebug的一些功能一.WebGoat安装(略)与访问二.浏览器推荐使用Firefox(1)FireBug安装(2)定位查看页面元素(3)Js调试 
渗透学习-靶场篇-WebGoat靶场(JWT攻击)
qq_43696276的博客
12-11 2355
本次主要学习了javaweb项目方面任意出现的一些安全问题,最主要的是有关于JWT身份认证上的攻击,并利用webgoat靶场进行了一些实验。JWT的全称是Json Web Token。它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。jwt由三个部分组成:header.payload.signature。
WebGoat安装
小英雄颂人头
03-25 3975
WebGoat是运行在Java虚拟机的WEB漏洞实验靶场,可以提供包括跨站点脚本攻击(XSS),访问控制,线程安全,操作隐藏字段,操纵参数,弱会话cookie,SQL盲注,数字型SQL注入,字符串型SQL注入,web服务、Open Authentication失效,危险的HTML注释等多个漏洞练习. 使用WebGoat的方式有很多,我们以常用的两种方式进行安装: OWASP Broken We...
webgoat war
11-15
WebGoat是一个用于测试Web应用程序安全性的开源平台,而WebGoat war是WebGoat的一个特定版本,它可以允许用户在本地或者服务器端进行单独的安全测试。通过使用WebGoat war,用户可以模拟实际的网络攻击和漏洞利用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值