webug靶场攻略-渗透基础

今天发现的挺好玩的,不多介绍,有兴趣的可以去看看;

发掘自:http://www.webug.org/

先来看看界面,很多关卡和玩游戏一样,不知道思路的时候百度也找不到,索性做一个记录;

源码下载地址在下面,解压之后里面有安装教程,自己动手很简单;

链接:http://pan.baidu.com/s/1mifZ2HU 密码:84zb

渗透基础

第一关:很简单的一个注入

 

 

gid=1′ union select 1,2,3,user()’

 

这个我直接忽略了。。


第二关:从图片中你能找到什么?

   改成rar,打开之后发现是

然而并不对,但似乎这个文件是使用cmd copy复制合成的文件,让我想起来“图片种子”;

使用 winhex 打开文件

第一个开始标识符 FF D8 正是jpg文件,一直到结尾 FF D9

 

文件结束标识

下面紧挨着就是52 61 72 21 rar文件,复制出来之后;再次合并

 

然后,我还没找到,哈哈哈。。。。。。。。。。。。。。。。

 


第三关   你看到了什么?

加上 test

 

将 test加密 得到

访问 http://192.168.1.105/pentest/test/san/4621d373cade4e83/

 

第四关 告诉你了flang是5位数

打开之后登陆没有验证码;burp Suite爆破也没有限制,最后得到账号密码是 admin admin123

登陆成功之后显示

源码里有个echo被注释掉了,

 

不知道对否

第五关 一个优点小小的特殊的注入

http头注入的几种方式

User-Agent

使得服务器能够识别客户使用的操作系统,游览器版本等.(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中)

cookie

网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密).

X-forwarded-For

简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).

Client-IP

同上,不做过多介绍

Rerderer

浏览器向 WEB 服务器表明自己是从哪个页面链接过来的

Host

客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号(这个我本人还没碰到过,不过有真实存在的案例还是写上吧)

本次注入存在于 X-forwarded-For

 

 

第六关 这关需要rmb购买哦

前排提示 账号 tom 密码 123456

 

post 提交数据

bill1 = 书籍1价格

bill2 = 书籍2价格

后面 num1 num2 同理,不可以更改商品和单间为负数数量,但可以更改商品单价为0

 

第七关 越权

http://192.168.1.105/pentest/test/3/change.php?name=tom 更改密码 url 后面 name 改成 admin

旧密码输入 tom 的密码,即可重置admin管理员密码

两种越权操作类型:横向越权操作和纵向越权操作

前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;

而后者指的是一个低级别攻击者尝试访问高级别用户的资源。

 

第八关 CSRF

打开修改密码页面,查看页面元素,ctrl+c ctrl+v

把action 和 value改下

 

第九关 url跳转

查看源码

$REQUEST[‘URL’];

构建一个 get请求  http://192.168.1.105/pentest/test/5/index.php?url=www.baidu.com

成功!

第十关 文件下载

这关,代码不全,不过可以看代码,呃呃改变下文件名就可以任意下载了;

 

第十一关 我和上一题有点像

和上一关同理

 

第十二关 我系统密码忘记了!

随便上传一个马就行了

 

第十三关  XSS

发现参数 id=666 插入测试代码

 

成功执行

第十四关  存储型xss

 

留言处 出入即可

此处好像有过滤,不过没关系,<Script>alert(1)</script> 成功执行

 

综合 反射型和存储型做过解释 反射型储存与dom中,但不会保存在服务器种,而储存型危害比较大,存储在服务器中,所有访问者都能受其影像。

 

第十五关:什么?图片上传不了?

 

1.老版本的IIS中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的一切内容都会被当作asp脚本来解析
2.老板本的IIS中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以突破过滤,成功上传,并且被当作php代码来执行
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对于php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果遇到不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的
制作内涵图的方法

总结
nginx(0.7.65以下)
1.jpg/php
1.jpg%00.php
iis(5.0,6.0)
目录解析,当目录名字为1.asp
把图片木马传上去之后访问
1.asp/1.jpg就会执行
文件名解析
1.asp;.jpg
遇到;结束
除了asp之外还有 .asa/.cer/.cdr
iis(7.0 7.5)
1.jpg/asp
apache 解析漏洞
就是文件名在解析的时候时从右至左的去解析
那么我们就可以这样做
1.php.asp.rar
就是把不能解析的都放在后面。最后就是1.php了
windows下的文件漏洞
不可以加 空格 和小数点
会被默认去除掉

 

本关 修改 content-type :image/php

 

第十六关:明天双十一

 

这么明显的提示,上去就是 www.taobao.com

嗯,我好像明白了点什么

将host改成 10.10.10.10

 

嗯。。去看代码吧

 

我没想说什么,就是看从哪里跳转过来的,伪造一下,成功拿到flag!

 

到此渗透基础关卡完成,中级进阶有时间发。

2 thoughts on “webug靶场攻略-渗透基础

发表评论

电子邮件地址不会被公开。 必填项已用*标注