mooyuan的网络安全博客

本文通过《webug4靶场第30关 SSRF》来进行渗透实战，不过本关卡有点小bug，通过修复靶场的bug使具有SSRF关卡功能，并完成获取敏感文件与内网服务探测的渗透。

本文讲解webug4靶场第29关渗透攻略，首先将php的版本切换为5.2后打开靶场（这时候要注意由于Docker中的php版本号为5.5，故而即使将此webshell.php放入到docker环境中，也没有办法在不切换版本的情况下打开），所以这里我使用的是windows下的靶场环境。如下所示配置字典，这里图方便随便写几个常用的密码集合，加上一个a1这个真实密码，这是因为不加上的话肯定不能暴力破解成功的。

ThinkPHP是一个快速、兼容而且简单的轻量级国产 PHP开发框架 ，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache2开源协议发布，使用面向对象的开发结构和 MVC模式 ，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式。由于thinkPHP5框架对控制器名没有进行足够的安全检测，导致在没有开启强制路由的情况下，攻击者构造指定的请求，可以直接getshell。本关卡使用docker环境的webug，打开第28关后如下所示。

本文通过《webug4靶场第27关 文件包含》来进行文件包含攻击渗透实战。

本文通过《webug4靶场第26关 URL不安全跳转》来进行URL重定向攻击渗透实战。

邮箱轰炸是一种网络攻击手段，攻击者利用特殊的软件或工具，向目标邮箱发送大量的电子邮件，从而使目标邮箱服务器不堪重负，导致系统瘫痪或影响用户正常使用邮箱。通常邮箱注册界面都会向其发送邮件，邮箱轰炸攻击主要是利用网站注册功能不对邮箱真实性验证（验证码）和同一机器请求频次验证（验证码发送间隔）造成的漏洞，实现利用网站邮件服务对其他目标邮箱发动轰炸。如下所示轰炸了10次，当然这里只是举个例子，实际上要求邮箱服务器配置正确真正可以发送邮件才可以，不过我们的目的是掌握暴力轰炸的原理，故而这一关卡做到此程度即可。

本文通过《webug4.0靶场第23文件上传之支付价格修改》对客户端前端和服务端的代码进行审计，基于代码审计来分析渗透思路并进行渗透实战。

本文通过《webug4.0靶场第21文件上传之htaccess》对客户端前端和服务端的代码进行审计，基于代码审计来分析渗透思路并进行渗透实战。

本文通过《webug4.0靶场第19文件上传之截断上传》对客户端前端和服务端的代码进行审计，基于代码审计来分析渗透思路并进行渗透实战。

本文通过《webug4.0靶场第19文件上传之畸形文件》对客户端前端和服务端的代码进行审计，基于代码审计来分析渗透思路并进行渗透实战。

本文通过《webug4.0靶场第18文件上传之前端拦截》来进行渗透实战。文件上传前端拦截是文件上传前端拦截是一种在前端页面实现的对文件上传操作进行限制和验证的技术手段，但是这种方法可以通过修改前端代码或直接发送 HTTP 请求来绕过前端的限制，本文通过3种不同的方法实现渗透测试。

本文通过《webug4.0靶场第17文件上传之前端拦截》来进行渗透实战。文件上传前端拦截是文件上传前端拦截是一种在前端页面实现的对文件上传操作进行限制和验证的技术手段，但是这种方法可以通过修改前端代码或直接发送 HTTP 请求来绕过前端的限制，本文通过3种不同的方法实现渗透测试。

本文通过《webug靶场第15关任意文件下载与第16关MySQL配置文件下载》来进行渗透实战。

本文通过《webug靶场第14关 链接注入》来进行渗透实战。

本文通过《webug靶场第12关 DOM型XSS和13关 过滤型XSS》来进行渗透实战。

攻击者通过输入特殊的密码，如' OR '1'='1'，可以使 SQL 语句的条件永远为真，从而绕过验证，以任意用户的身份登录系统。为了防止 SQL 注入和万能密码攻击，开发人员应该对用户输入进行严格的验证和过滤，使用参数化查询或存储过程来避免将用户输入直接嵌入到 SQL 语句中，同时对数据库的权限进行合理的设置，限制用户对敏感数据的访问。：直接将POST['username']和P​OST['username']和_POST['password']拼接到SQL语句中。

本系列为通过《Webug4.0靶场通关笔记》的渗透集合，本文为反射型和存储型XSS漏洞关卡的渗透部分，通过对XSS关卡源码的代码审计找到漏洞的真实原因，讲解XSS漏洞的原理并进行渗透实践。

CSV公式注入(CSV Injection）是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能。在这个过程中，CSV中的所有Excel公式都会执行，从而可能导致黑客利用此功能进行渗透，形成CSV漏洞。

XXE -"xml external entity injection"，既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"，也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

本文通过《Webug4.0通关笔记系列》来进行Webug4.0靶场的渗透实战，本文讲解Webug4.0靶场第6关宽字节注入的渗透实战。使用sqlmap进行实践，修改webug06.txt，在注入点id处尾部加上%df 然后加入注释符%23，并在闭合符号'与注释符中间加上*，如下所示。如下所示，渗透成功，flag为dfsadfsadfas。将报文保存为webug06.txt。如上所示，存在宽字节注入漏洞。

相对于第01关、第02关、第03关均为字符型注入，闭合方式为单引号， 只是方式有点变换，由GET方法变为了POST方法。更别提本关卡的过滤限制只是一个摆设而已，完全没有任何作用，故而渗透方法如下即可。因为注入的时候，不可能参数只是select或者SELECT，所以这个过滤函数没有任何用，换言之这个写靶场的开发者对SQL注入部分的限制还是有点问题的。再看一下输出显示，根据源码可知与第01关相同，当SQL执行错误时会调用mysqli_stmt_error()函数，其余则是正常显示，存在时间盲注。

本关卡有点名不副实，不是布尔类型。接下来SQL注入主要分析几个内容（1）闭合方式是什么？webug靶场的第02关关卡为字符型，闭合方式为单引号（2）注入类别是什么？这部分是普通的字符型GET注入另外仍有时间型盲注，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第02关和第03关卡没有进行任何过滤。

本系列专栏完成webug3中级渗透靶场关卡的通关，打开webug靶场渗透中级进阶版本，完成01-05个关卡，包括文件包含漏洞、SQL注入漏洞等。

本文通过《webug3靶场第十六关 明天双十一》通过代码审计完成关卡的渗透实战。本关卡是需要通过代码审计，配置报文的http首部的refer和host字段才可以将报文修正。

本文通过《webug3靶场第十五关 什么？图片上传不了？》通过代码审计完成文件上传关卡的渗透实战。在HTTP协议消息头中，使用Content-Type来表示请求和响应中的媒体类型信息。如下所示，为服务端后台过滤文件上传的内容，从源码中得知时通过_FILES["file"]["type"]参数，也就是文件的类型进行过滤，基于此我们可以通过上传图片，再在bp中将报文类型改为php后缀然后上传到后台服务器。

存储型 XSS（Stored Cross - Site Scripting），也被称为持久型 XSS，是跨站脚本攻击（XSS）的一种类型。如下所示对传入的留言参数并未过滤，而是直接存储到数据库中，很明显可以通过注入XSS语句形成XSS存储型漏洞。本文通过《webug3靶场第十四关 存储型XSS》来进行存储型XSS关卡的渗透实战。这之后，每次进入到留言板界面，都会有弹出cookie的弹框，存储型XSS获取成功。存储型XSS漏洞对比上一关卡的反射型XSS漏洞，区别如下所示。这个留言板可能存在存储型XSS漏洞。

XSS 漏洞，即跨站脚本攻击（Cross - Site Scripting）漏洞，是一种常见且危害较大的 Web 安全漏洞。当应用程序接收用户输入，并在未充分检查的情况下将其输出到网页时，攻击者可注入恶意脚本（如 JavaScript、VBScript 等）。如下所示，可以看到就是将输入参数id未加过滤直接输出到页面中，存在反射型XSS漏洞。XSS攻击分为如下几类，本关卡属于比较简单的反射型XSS。如下所示打开靶场的第13关，如下图红框所示。将鼠标移动到图片上，如下所示。点击666，进入到如下界面。

本关卡与第10关类似，只不过参数改为POST型，且参数名称发生改变。通过源码可知与第10关代码几乎一样，对于filepath没有任何顾虑处理，会存在任意文件下载的漏洞。区别只是参数名不一样，第11关卡的参数为$_POST["pic"]，也就是说传递文件路径的参数为pic，并且传输方式变为了post。

页面找不到，直接打开靶场目录查看，发现存在与本关卡（文件下载）相关一个download.php文件，直接进行访问。如下所示，赋值下来的链接中参数为fname，通常这种参数存在任意文件下载漏洞。如上所示，对于filepath没有任何顾虑处理，会存在任意文件下载的漏洞。制作可以访问到config.php的相对路径构造参数，如下所示。也就是本关卡的修正URL，如下所示。对第一个图片点击下载处赋值URL。其中关于文件处理的源码如下所示。打开第10关后页面如下所示。想访问如下config文件。源码中的路径如下所示。

URL 跳转漏洞是指后台服务器在告知浏览器跳转时，未对客户端传入的重定向地址进行合法性校验，导致用户浏览器跳转到钓鱼页面的一种漏洞。这里要注意，登陆界面没啥意义，不要随便登录否则会跳到其他关卡页面。如下所示，输入参数为url，当其不为空时直接跳转。打开后是登录界面，如下所示。如下所示，跳转到百度。

CSRF 漏洞，即跨站请求伪造（Cross - Site Request Forgery）漏洞，CSRF 漏洞是指攻击者诱导受害者在已登录目标网站的情况下，访问一个恶意链接或执行一个恶意操作，从而利用受害者的身份和权限在目标网站上执行非预期的操作，而这些操作通常是受害者在正常情况下不会执行的。基于此，可知代码可能存在第一个是越权操作（仅根据输入参数name判断用户，这个在上一个关卡中验证），第二个就是可能存在CSRF漏洞，也就是构造tom修改密码的链接，让admin账户点击使密码得以修改。

越权漏洞是指攻击者在未经授权的情况下，访问或操作了其他用户的资源，或者执行了超出其自身权限范围的操作。这种漏洞通常是由于应用程序在进行权限验证时存在缺陷，未能正确地对用户的身份和权限进行检查，导致攻击者可以绕过或篡改权限验证机制，从而获取到额外的访问权限。如下所示仅对name参数进行SQL相关的过滤检查，在修改密码时却没有确认用户是否为登录的user，故而存在越权漏洞。修改密码的源码如下所示,也没对旧密码进行确认，存在密码修改漏洞。越权分为水平越权和垂直越权，具体如下所示。点击更改密码，如下所示修改成功。

当存在逻辑漏洞时，攻击者可能利用流程中的缺陷，如未在服务器端对价格等关键信息进行二次严格验证，仅依赖客户端传递的数据，就可篡改客户端发送的价格、数量等数据，使支付平台接收到错误的低价信息，从而以较低金额完成支付。支付漏洞的利用方法如下所示。如下所示buy.php源码内容如下，首先对输入参数进行SQL注入参数过滤，接下来是购买部分的处理，除了限制支付价钱不为负外，没有对支付价钱进行确认，仅根据输入参数确认，很明显存在支付漏洞。将商品1改为0元，商品2价钱改为0元，如下所示0元购尝试，渗透成功。

了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的等号过滤绕过的SQL注入渗透内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。下面是基于gid的SQL语句的关键源码，可知由于对gid未进行过滤，从而会产生SQL注入漏洞，故而我们可以构造基于gid的SQL注入语句。如上所示id为SQL语句的参数，基于id来查询商品信息，这是典型的SQL调用方式，可能存在SQL注入漏洞。webug的第1关关卡为字符型，单引号闭合。（2）注入类别是什么？

SQL注入主要分析几个内容（1）闭合方式是什么？webug靶场的第01关关卡为字符型，闭合方式为单引号（2）注入类别是什么？这部分是普通的字符型GET注入，使用union法即可注入成功（3）是否过滤了关键字？很明显通过源码，iwebsec的第01关卡过滤没有进行任何过滤了解了如上信息就可以针对性使用union查询法进行SQL绕过渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的webug靶场第01关注入内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。t=P1C7。

本文通过《webug3靶场第五关 Header头注入》来进行SQL注入渗透实战。SQL注入主要分析几个内容（1）闭合方式是什么？webug的第5关关卡为字符型，单引号闭合（2）注入类别是什么？这部分是普通的header首部字符型注入（3）是否过滤了关键字？很明显通过源码，无过滤了解了如上信息就可以针对性进行SQL渗透，使用sqlmap工具渗透更是事半功倍，以上就是今天要讲的SQL注入渗透内容，初学者建议按部就班先使用手动注入练习，再进行sqlmap渗透。

本文通过《webug3靶场第四关 告诉你俩flag是5位数》来进行渗透实战。如下所示，对于用户名和密码没有查询SQL的语句，而只是判断是否为指定的用户名密码，并且没有验证码和登录次数限制，很明显有弱口令的暴力破解漏洞。打开第 四关，如下所示，看起来是一个登录界面，可能存在SQL注入或者暴力破解弱口令漏洞。渗透获取到用户名为admin，密码为admin123，如上所示渗透成功。

由于提示目录名进行md5加密，这里的目录名为test，如下所示。不过返回提交：flag{人人都知道站长是个大帅比}还是不对。因为提示渗透网站的时候目录也很重要，所以使用工具渗透试试。从而获取到/flag{人人都知道站长是个大帅比}/看来这个flag不对，所以需要从其他思路入手。使用目录扫描工具进行渗透，渗透命令如下所示。拉到当前页面的最下面，提交flag。由于flag提交不对，分析一下源码。打开后直接把flag写在网页中。不过提交flag后看起来不太对。得到的加密结果如下所示。

本关卡是图片隐写功能，通过使用binwalk分离工具即可进行获取到隐写的内容。binwalk工具是文件分析工具。 主要是用于CTF_杂项的隐写题，分离提取隐写的文件。 如：从图片里分离出压缩包，从流量分析文件里分离出图片，压缩包等。