滲透基礎(chǔ)
第一關(guān):很簡單的一個注入 普通的GET注入
說是普通的GET注入 那么就在gid這個參數(shù)下手
單引號報錯 得到信息 需要閉合單引號來完成注入
orderby 5
報錯
orderby 4
返回正常 列長為4
爆表
-1' union select1,group_concat(table_name),3,4frominformation_schema.tableswheretable_schema = database() %23
爆列
-1' union select1,group_concat(column_name),3,4frominformation_schema.columnswheretable_name = 'flag'%23
查得flag值 完成
-1' union select1,flag,3,4fromflag %23
第二關(guān):從圖片中你能找到什么? 從圖片中找到有用的東西
一張照片下載下來 記事本打開 到末尾 發(fā)現(xiàn)藏了一個123.txt 密碼123 除此之外沒啥東西了 可能題目沒完善吧
第三關(guān):你看到了什么? 滲透網(wǎng)站的時候目錄也很重要
進(jìn)來是這樣的 點擊提交flag 404了= = 估計路徑寫錯了還是代碼沒寫完~ 不過這不要緊
題目說目錄很重要 那就來掃描看看
得到test目錄 訪問得到另一個提示 將目錄名md5加密 就是將test加密
加密后訪問就通關(guān)了
第四關(guān):告訴你了FLANG是五位數(shù) 當(dāng)遇到五位驗證碼的時候可以爆破
進(jìn)去并沒發(fā)現(xiàn)驗證碼啊
后來看了源碼發(fā)現(xiàn) 賬號密碼都是弱口令 但是輸出flag的語句也被注釋掉了 可能這關(guān)也沒完善吧~
第五關(guān):一個優(yōu)點小小的特殊的注入 頭部的注入(注入個頭!)
頭部的注入就想到在XFF頭上下功夫 我用了firefox的插件 Modify Headers (用burpsuite改我是不行的)與第一關(guān)沒什么差別 只是注入的地方有點不同~
第六關(guān):這關(guān)需要RMB購買哦 支付問題:用最少的錢去購買一本書!
登錄的密碼居然在第七關(guān)= =
書籍1是10元一本 書籍2是20元一本 要用最少的錢去購買一本書
那么就購買 -2 本書籍1 1本書籍2 如果系統(tǒng)沒有校驗購買數(shù)量的話那么結(jié)算:-2 * 10 + 1 * 10 = 0元
很多程序都會在前端限制數(shù)量不能為負(fù) 那么可以嘗試截獲數(shù)據(jù)包進(jìn)行修改數(shù)量但這里并沒有驗證 所以直接成功購買了
第七關(guān):越權(quán) 已有賬號:tom 密碼123456
登錄進(jìn)去只有一個更改密碼的頁面
結(jié)合關(guān)卡越權(quán) 那么就是越權(quán)修改他人密碼了發(fā)現(xiàn)url后面帶了name參數(shù) 也就是要修改密碼的用戶
嘗試修改為admin 進(jìn)行修改密碼 這里程序沒有校驗舊密碼 舊密碼隨意輸 輸入新密碼即可成功越權(quán)修改密碼了
第八關(guān):CSRF 管理員每天晚上十點上線!
進(jìn)入之后也只是一個更改密碼的頁面
將更改密碼的請求用Burpsuite截獲 可一鍵生成CSRF PoC
將此保存為html 管理員打開后就會更改其密碼了 完成了CSRF
第九關(guān):URL跳轉(zhuǎn) 能不能從我到百度那邊去?
url跳轉(zhuǎn)到http://www.baidu.com 那么就需要在某個地方插入網(wǎng)址 加了個url參成功跳轉(zhuǎn)
打開后404。。
查看了源碼后發(fā)現(xiàn)url跳轉(zhuǎn)有問題 把原來的注釋掉 跳轉(zhuǎn)修改成download.php就好了 index.php代碼沒寫完
來到了download.php 抓取了下載圖片的包 發(fā)現(xiàn)傳遞了一個參數(shù)fname 要下載的文件名 那么可能可以修改文件名實現(xiàn)任意文件下載
標(biāo)題提示我們幫助管理員找回mysql賬號密碼 那么掃一下目錄 得到db
再對db目錄進(jìn)行掃描 得到config.php
構(gòu)造如下路徑 下載到了config.php 拿到了賬號密碼
第十一關(guān):我和上一關(guān)有點像 boom,沙卡拉卡!
的確和上一關(guān)有點像 也是要找回mysql賬號密碼 還是先把下載的包抓下來看看 上一關(guān)的下載用的是get 本關(guān)用的post
還是一樣掃描 得到db目錄下的config.php 那么改一下post包即可
第十二關(guān):我系統(tǒng)密碼忘記了 請幫我找回在D盤下
登錄進(jìn)去之后 可以上傳文件 測試了下沒有限制 直接可以上傳一句話
根據(jù)回顯的路徑 菜刀連接
說是在D盤下找回密碼 但無法訪問D盤
但我們可以通過mimikatz(Windows密碼抓取神器)得到系統(tǒng)密碼
不知道為什么我的菜刀執(zhí)行mimikatz很久不回顯 所以直接在靶機上運行了 成功拿到密碼
第十三關(guān):XSS 看看你能給我?guī)硎裁大@喜
進(jìn)去之后看到url后面跟了個參數(shù)id=666 并把參數(shù)值顯示在了頁面上 那么這是個反射XSS
沒有過濾 隨便一條payload即可
第十四關(guān):存儲型XSS suprise!
一個留言板 那么這是個存儲型XSS了 也沒有什么過濾 把上一關(guān)的payload拿來用就可以了
第十五關(guān):什么?圖片上傳不了? 上傳不了圖片怎么辦
老樣子把上傳的數(shù)據(jù)包抓取下來分析 先傳了大寫的JPG 還是提示我不上傳圖片 后來改成小寫的就好了
但是她說她不喜歡.. T_T
嘗試php后綴會回顯什么 結(jié)果好像直接上傳成功了
看了下目錄確實傳成功了 那么這題的代碼猜測是只驗證了Content-Type
看了源碼 好像只要后綴不是jpg、png等圖片格式就可以上傳
第十六關(guān):明天雙十一 我從公司網(wǎng)絡(luò)去剁手了!
輸入框輸入了之后 點擊go 回顯 這個地方剁手不好 換個地方 并多了一個參數(shù)url
某個知名站 剁手 那就試試淘寶了 回顯提示 哎呀,這里只允許10.10.10.10訪問!!!
嘗試改了XFF頭 還是一樣的回顯 不成功
然后抓包看了下 看到HOST是ip 就提示了我嘗試修改HOST為10.10.10.10
還是不行 不過回顯變成了 nono
嘗試修改了referer為taobao 也還是nono 無奈查看源碼..不理解為什么是要baidu啊 – -!
改為baidu后拿到flag
驗證成功
