PIKACHU靶场练习通关

Burte Force（暴力破解）

基于表单的暴力破解

输入测试账号密码 使用burp进行爆破

测试发现length有长度不一样 admin 123456 登录成功

验证码绕过(on server)

老伙计burp抓包 测试一下  发现验证码可以复用 然后老规矩 进行爆破

老样子  看返回长度 登录成功 

验证码绕过(on client)

打开老伙计抓包 输入账号密码提示账号或密码不存在 但是验证码发生变化了 

但是这是前端验证 只要禁用JavaScript就可以了 禁用后照着前两关操作就能爆破出账号密码

token防爆破?

因为我是免费版的BURP 所以懒得操作 大概就是抓token选对应的字典进行爆破 大概是这样

XSS（跨站脚本）

反射型xss(get)

限制了输入最大长度 将这个改一下就能输入了 输入后就会成功弹出

反射性xss(post）

点一下提示 需要登录也提供了账号密码 大概意思是借助xss搞到登录后的cookie

登录账号密码后 找到xss平台 使用xss语句 即可上线获取cookie

存储型xss 

这个测试一下 发送的信息都会储存在留言板里。

老样子 输入 <script>alert("xss")</script>  存储型xss因为xss语句存储到了数据中  所以每次刷新都会弹出xss

DOM型xss

随便输入测试一下 发现下面存在一个超链接 

右键检查一下  发现<a href="baidu.com">what do you see?</a>

构造一下xss语句 正常弹出xss

dom型xss-x 随便输入一个 下面又有一个超链接  右键检查一下代码  构造一下语句闭合就行

这都是前端界面的感觉 都用不太上

xss之盲打 

输入xss语句 提示已经收到了 看了一下提示 给了个登录界面 

登录后台会弹出xss语句 说明xss语句不会在前台出现 出现在后台 

xss之过滤 

先输入xss语句进行尝试一下  发现过滤只剩下> 

不使用script   使用 <a href="" οnclick="alert('xss')"> 

xss之htmlspecialchars   

老样子先输入个xss语句 显示被记录却没有任何反应

右键检查一下代码  看到是a标签 所以换个xss语句 构造成功弹出xss语句

xss之href输出 

老样子随便输入一个xss语句 发现怎么也不管用  存在过滤 

那就使用 javascript:alert(1) 进行测试 成功弹出xss语句

xss之js输出 

随便输入一个发现存在script已经闭合了 先把前面的xss语句进行闭合了 </script><script>alert('xss')</script> 成功弹出

CSRF(跨站请求伪造)

CSRF(get) login

CSRF(post) login

CSRF Token login

因为我的好兄弟burp是社区版  csrf是 pro版才有的 所以这里先欠着 

Sql Inject(SQL注入)

数字型注入

随便查询 然后开启老伙计burp进行抓包 

输入and 1=2 报错  说明可能存在注入点 

and 1=2 改为 or 1=1 就可以得到所有用户的名字和邮箱了

用order by 来判断数据库列数  到3的时候发现报错 说明只有两列

看看数据版版本和数据库名称

查看数据库info表 这个要看数据库版本有没有 剩下就是看数据库里的user password 了  

字符型注入

输入'发现会报错 这关是字符型注入 

像上关一样 使用1 or 1=1 不过要加’ 直接能出现所有用户名和邮箱 然后就像上关一样猜数据库猜用户名猜用户名密码

搜索型注入

随便输入搜索 发现会把相关l的用户名都显示出来 说明 sql语句大概是 使用了 like '%l%'

根据使用了like '%l%'然后进行构造sql语句进行闭合 得出所有用户名和邮箱 

xx型注入

一个个试发现 应该是username=('$name'); 所以进行闭合 可以测试出

insert/update注入

先注册一个账号 

抓包然后判断闭合符 使用updatexml进行注入 之后就像之前一样猜 还有就是登录后通过修改个人信息进行抓包然后进行注入 两者没啥区别 就不多说明了 

delete注入

先进行留言然后删除抓包  对id进行sql注入语句 和上面差不多

这关存在过滤 所以要改url编码才能进行测试 

http header注入

输入账号密码登录 抓包  因为这关是httphearder注入  所以我们对user-agent进行注入 注入回显然后就和上面的差不多了。

盲注

这两个手动太麻烦了 用sqlmap比较方便 

宽字节注入

随便输入点搜索然后抓包

构造一下sql语句  宽字节注入是sql注入的一种手段，利用mysql使用GBK编码（因为GBK占用2个字节，而ascii占用1个字节），将两个字符看作一个汉字，从而消除转义字符\。（当某字符的大小为一个字节时，称其字符为窄字节当某字符的大小为两个字节时，称其字符为宽字节。所有英文默认占一个字节，汉字占两个字节。

使用%df是因为and被php转义后就是%df

RCE远程系统命令执行

exec "ping"

输入个127.0.0.1 正常返回ping 说明这是个调用ping命令的窗口 所以

利用命令分隔符可以执行系统命令  分隔符一般有 |  || & && 这四个 具体可以去搜搜 

exec "eval"

eval这命令可以用来执行php语句 直接输入个phpinfo()

File Inclusion(文件包含漏洞)

本地文件包含

随便查询一个喜欢的NBA球员是查询文件 上面ping也知道这是Windows系统 所以可以用../进行目录遍历查看电脑文件 测试是可以看到C盘文件

远程文件包含

因为我是fafo上搜的靶场 所以我开启不了 大概就是能访问互联网文件 可以在自己服务器上上传一个木马然后利用远程文件包含木马 之后就是webshell管理工具控制了

不安全的文件下载

不安全的文件下载

右键获取下载文件链接

filename可以改可以进行目录遍历下载相关php文件

不安全的文件上传漏洞

客户端check

先尝试上传一个PHP文件 提示是不允许上传的类型

鼠标右键检查 看看做了什么文件检查 将checkfileext给删掉

还有一种是禁用JavaScript 这也能绕过前端验证 

服务端check

老样子 先上传一个php文件 发现提示只能上传图片格式   这个时候需要打开BURP抓包了

把content-type为图片类型 就可以成功上传php文件了 

getimagesize()

这一关要做图片马和文件包含漏洞一起联动才能获得webshell 

图片马制作copy copy /b 图片.jpg + 木马.php  图片马.jpg

我有点懒 就不操作了  因为靶场是fafo上搜的 不想搞太多

Over permission

水平越权

根据提示随便登录一个账号 有个按钮 点击查看个人信息  抓个包看看

直接是提交用户名 把kebe改成其他名字 发现可以直接访问到其他名字

垂直越权

登录超级用户 admin  和 普通用户pikachu  发现admin多了添加和删除操作

复制添加页面url 然后进入普通用户pikachu 然后粘贴url发现 pikachu也可以添加用户 并且添加用户成功

目录遍历

目录遍历就像之前用../../来访问服务器上的文件  像之前那关卡一样可以访问 win.ini

敏感信息泄露

find abc

敏感信息泄露这个挺常见 有的测试用户账号密码会留在备注代码里 

把find删掉也是可以直接进入abc.php 不需要登录账号 

PHP反序列化

php反序列化漏洞

概括里做了挺多介绍  大概就是通过php语句做反序列 简介也给了相关的

        payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

 自己找个php在线编辑一下反序列化改一下就可以获取到cookie什么的

XXE -"xml external entity injection"

xxe漏洞

这个漏洞就是构造一个xml 的实体内容  数据包构造有点麻烦怎么也没有反应 我就网上找了个 一下子就出来了 还是我太菜了

URL重定向

不安全的url跳转 

点到最后一个发现末尾有个url=i 毕竟这关是url跳转 就直接把i改一下 就可以直接跳转到CSDN

SSRF(Server-Side Request Forgery:服务器端请求伪造)

SSRF(curl)

这关url可以去请求其他服务器上的资源像我请求了百度的页面 然后前端界面就会出现在这关界面中   你可以把你放在服务器上的webshell 因为我是在别人服务器的靶场上 我就不搞webshell了  

SSRF(file_get_content)

这关和上面那关差不多 不过这次是file读取 所以这关可以读取系统文件  然后再拿去base64解密一下。