靶場分析
這道題涉及到解密我是沒有想到的
拿到手,是一個登錄界面:
拿掃描器掃描,發(fā)現(xiàn)沒有其他的文件
分析可能存在的漏洞:
- SQL注入漏洞
- SQL二次注入漏洞
- 其他邏輯漏洞
經(jīng)過嘗試,前兩個漏洞都沒有,只有可能是最后一個漏洞了
登錄admin
我們登錄一個賬戶進去,點擊manager,發(fā)現(xiàn)彈窗提示:
猜想管理員的賬號是admin,回到注冊界面,注冊一個admin賬號:
顯示admin已經(jīng)被注冊,所以現(xiàn)在的目標(biāo)就是想辦法登錄進admin的賬號
回到登錄面板,我們多注冊幾個賬號并登錄,抓包觀察:
發(fā)現(xiàn)每次登錄都會返回一個user的cookie,而且多次登錄同一個賬戶,返回的cookie值是一樣的。
而且觀察到,這個字符串的位數(shù)是32位,猜想很有可能是md5加密
說明:這個userCookie的生成是有規(guī)律的MD5加密
看網(wǎng)上的答案是MD5(UID:username)
的加密方法。
使用這種加密方法即可隨意登錄一個賬戶,然后點擊personal,這樣就可以看見他的信息了
但是網(wǎng)上的另一個大佬的方法是:
繞過了第一步的找回密碼認(rèn)證,直接來到第二步,操作是:
- 修改了URL上的step=1為2
- 修改了Referer頭
確實,牛啊牛
偽造IP
如愿登錄admin之后打開manager,發(fā)現(xiàn)它對IP做了 加固
但是我們有辦法,這就是使用X-Forwarded-For:127.0.0.1
實現(xiàn)SSRF注入
在報文里面加上這個,然后實行
就可以看到還是沒有flag
這個時候一般點下檢查還是會有提示的:
這個提示我們需要完成一些操作
看見filemanager,估計就是文件上傳
果然upload是有用的,但是里面也說了,只能是圖片文件
上傳一個PHP圖片,有Content-Type來進行甄別的,那就改動這個為image/gif
吧
為了保險起見,文件名也改一改
沒用,怕不是對文件內(nèi)容做了過濾
最后經(jīng)過測試,如下的改動可以回顯出flag
<script language="php"> alert(@eval($_POST['cmd']))</script>
總結(jié)
- 不要總想著解密,md5不配凡人猜出來
- 第一步過不去可以嘗試第二步,記得把referer改成第一步的URL,然后把表示第一步的變量改成第二步的變量,比如step=1改成step=2
- IP出現(xiàn)問題直接上X-forwarded-For: 127.0.0.1
- 文件上傳漏洞,直接該Content-Type和文件名外,可能還對內(nèi)容做了過濾,這個時候就需要變通為XSS注入了
- 這道題考了,邏輯漏洞、身份驗證漏洞、文件上傳漏洞、XSS漏洞、SSRF漏洞
本文摘自 :https://www.cnblogs.com/