當(dāng)前位置:首頁 > IT技術(shù) > Web編程 > 正文

攻防世界:web Bug
2021-09-10 19:18:51

靶場分析

這道題涉及到解密我是沒有想到的
拿到手,是一個登錄界面:
image
拿掃描器掃描,發(fā)現(xiàn)沒有其他的文件

分析可能存在的漏洞:

  • SQL注入漏洞
  • SQL二次注入漏洞
  • 其他邏輯漏洞

經(jīng)過嘗試,前兩個漏洞都沒有,只有可能是最后一個漏洞了

登錄admin

我們登錄一個賬戶進去,點擊manager,發(fā)現(xiàn)彈窗提示:
image
猜想管理員的賬號是admin,回到注冊界面,注冊一個admin賬號:
image
顯示admin已經(jīng)被注冊,所以現(xiàn)在的目標(biāo)就是想辦法登錄進admin的賬號
回到登錄面板,我們多注冊幾個賬號并登錄,抓包觀察:
image
image
發(fā)現(xiàn)每次登錄都會返回一個user的cookie,而且多次登錄同一個賬戶,返回的cookie值是一樣的。
而且觀察到,這個字符串的位數(shù)是32位,猜想很有可能是md5加密
說明:這個userCookie的生成是有規(guī)律的MD5加密
看網(wǎng)上的答案是MD5(UID:username)的加密方法。
使用這種加密方法即可隨意登錄一個賬戶,然后點擊personal,這樣就可以看見他的信息了
image
image

但是網(wǎng)上的另一個大佬的方法是:
image
繞過了第一步的找回密碼認(rèn)證,直接來到第二步,操作是:

  • 修改了URL上的step=1為2
  • 修改了Referer頭

確實,牛啊牛

偽造IP

如愿登錄admin之后打開manager,發(fā)現(xiàn)它對IP做了 加固
image
但是我們有辦法,這就是使用X-Forwarded-For:127.0.0.1實現(xiàn)SSRF注入
在報文里面加上這個,然后實行
image
就可以看到還是沒有flag
image
這個時候一般點下檢查還是會有提示的:
image
這個提示我們需要完成一些操作
看見filemanager,估計就是文件上傳
image
果然upload是有用的,但是里面也說了,只能是圖片文件
上傳一個PHP圖片,有Content-Type來進行甄別的,那就改動這個為image/gif
為了保險起見,文件名也改一改
image
image
沒用,怕不是對文件內(nèi)容做了過濾
最后經(jīng)過測試,如下的改動可以回顯出flag
image
image

<script language="php"> alert(@eval($_POST['cmd']))</script>

總結(jié)

  • 不要總想著解密,md5不配凡人猜出來
  • 第一步過不去可以嘗試第二步,記得把referer改成第一步的URL,然后把表示第一步的變量改成第二步的變量,比如step=1改成step=2
  • IP出現(xiàn)問題直接上X-forwarded-For: 127.0.0.1
  • 文件上傳漏洞,直接該Content-Type和文件名外,可能還對內(nèi)容做了過濾,這個時候就需要變通為XSS注入了
  • 這道題考了,邏輯漏洞、身份驗證漏洞、文件上傳漏洞、XSS漏洞、SSRF漏洞

本文摘自 :https://www.cnblogs.com/

開通會員,享受整站包年服務(wù)立即開通 >