qq_41755084的博客

从这里创建网站，将xss平台文件拷贝到phpstudy平台安装目录的www目录下，然后在根目录里设定为xss平台文件所在的目录。这里就需要后台机器人先在两个输入框里输入账号密码，然后把这两个值存入cookie，然后读取其中的一个值，这个利用条件我感觉有点苛刻，但是不管，先试试再说。接下来需要将本地的xss平台服务映射到有公网ip的服务器上，这样靶机访问公网ip的服务器时就相当于访问本地的xss平台，完成攻击目的。启动后，访问目标服务器的7500端口，输入展示板的账号密码，应该就可以看到frp服务的展板了。

配置kali子系统时，踩了一些坑，主要是网络配置时卡了挺久。因为wsl2安装时默认为NAT模式，而在测试过程中，经常会需要反弹shell或开启服务让靶机下载文件之类的操作，因此最好使用桥接模式。

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真实 APT 实战环境，从实战中成长。虚拟机所有统一密码：hongrisec@2019漏洞详情 (qiyuanxuetang.net)

这一关还是进行宽字节注入，与上一关的区别在于使用了post方法进行传递。先试一下上一关的注入代码。因为这一关是登录，就使用之前的dumb账号。登陆失败了，也没报错，看一下这个包传递时post方法里参数是咋传的。可以看到，我们输入的注入代码在前端被进行了一个url编码，%被编码成了%25，原来的空格被替换成了+，原来的+被替换成了%2b那我们再把这个包改回来就好，+不用改回空格，在服务端会改回来的。并且经过尝试，这里的列数为2。注入成功。

这一关在web应用前有一个waf，在关卡列表界面直接点开是没有的，要在地址栏输入才是有waf保护的界面其实这里并不是真正的硬件waf，只是有两个函数模拟了waf的功能和收到参数的反应。sqlilabs靶场也提供了能够部署真正硬件waf的代码，不过随着时代的发展，waf也在变化，专门配置这样一个waf也没太有必要，直接使用这个模拟题目的就好了。这一关在正常配置waf的情况下，的结构图如下所示客户端在访问服务器端时，需要先经过一个tomcat服务器，这个tomcat服务器中部署的过滤代码充当了waf。

先输入标准的弹窗代码尝试一下。不出意外没有成功，再看一下网页源码。这里看到script与/字符被替换成了html实体字符中的空格。/字符被替换后，html标签就不能闭合了。这里我们可以使用这种不需要闭合的标签。传入后什么也没发生。看一下源码发现空格变成了html实体字符。那我们使用回车代替空格。（回车的url编码是%0A）弹窗成功。

这一关比上一关多了一个标签，其他没有变化，先试一下上一关的注入语句。发现在t_sort的标签中的"被编码成了html实体字符，没办法正常闭合了。而t_ref的值看起来像是请求的referer头。那我们将上一关的代码从referer头处传入。页面中出现了输入框，点击该输入框，弹窗成功。

这一关整体上与第五关类似，只是黑名单的量增加了，尝试了href、src等字段，都被替换掉了。不过这个黑名单是大小写敏感的，而在html语句中，大小写不敏感。我们可以使用大小写字段进行绕过。构造注入代码从keyword参数处传入。将href的f大写，变为hreF，绕过黑名单，页面上成功插入了标签。点击该标签，成功弹窗。

测试xss漏洞的JavaScript弹窗代码：

这一关还是使用get方法进行注入，不过这次对、这些用于注释的字符做了过滤。这样我们可以使用两个进行绕过，第一个用于闭合原代码语句中的前一个，后一个用来闭合源代码语句中的后一个。在两个单引号中间加上我们想要执行的sql语句即可。在id参数上传入代码发现回显的部分还是与基础部分的效果一样，也就是回显3列的查询，显示出的是第2，3列的内容。那么，就可以正常注入了，在union select的第2或3的位置放上查询的payload查询成功。这一关为二次排序注入，也叫存储型的注入，具体是将可能导致sql注入的字符

这一关页面发生了变化，开始使用post方法传递参数。在Username字段输入1'，查看错误信息。错误信息中发现password字段，基本可以确认这两个字段在同一个sql语句中联合查询。使用order by注入测试返回的参数为几列。测试到3时报错，证明返回两列。注意，这里的注释使用的是--（两个减号一个空格），而不是之前的--+。之前也提到使用加号是因为在某些http实现时会将加号转变为空格。这里使用#进行注释也是一样的。使用union select注入查询数据库名，数据库中表名。

与第五关相似，只是闭合的单引号换为了双引号。

Sqli-labs靶场详细攻略