靶場(chǎng)分析
這道題涉及到解密我是沒(méi)有想到的
拿到手,是一個(gè)登錄界面:
拿掃描器掃描,發(fā)現(xiàn)沒(méi)有其他的文件
分析可能存在的漏洞:
- SQL注入漏洞
- SQL二次注入漏洞
- 其他邏輯漏洞
經(jīng)過(guò)嘗試,前兩個(gè)漏洞都沒(méi)有,只有可能是最后一個(gè)漏洞了
登錄admin
我們登錄一個(gè)賬戶進(jìn)去,點(diǎn)擊manager,發(fā)現(xiàn)彈窗提示:
猜想管理員的賬號(hào)是admin,回到注冊(cè)界面,注冊(cè)一個(gè)admin賬號(hào):
顯示admin已經(jīng)被注冊(cè),所以現(xiàn)在的目標(biāo)就是想辦法登錄進(jìn)admin的賬號(hào)
回到登錄面板,我們多注冊(cè)幾個(gè)賬號(hào)并登錄,抓包觀察:
發(fā)現(xiàn)每次登錄都會(huì)返回一個(gè)user的cookie,而且多次登錄同一個(gè)賬戶,返回的cookie值是一樣的。
而且觀察到,這個(gè)字符串的位數(shù)是32位,猜想很有可能是md5加密
說(shuō)明:這個(gè)userCookie的生成是有規(guī)律的MD5加密
看網(wǎng)上的答案是MD5(UID:username)
的加密方法。
使用這種加密方法即可隨意登錄一個(gè)賬戶,然后點(diǎn)擊personal,這樣就可以看見(jiàn)他的信息了
但是網(wǎng)上的另一個(gè)大佬的方法是:
繞過(guò)了第一步的找回密碼認(rèn)證,直接來(lái)到第二步,操作是:
- 修改了URL上的step=1為2
- 修改了Referer頭
確實(shí),牛啊牛
偽造IP
如愿登錄admin之后打開(kāi)manager,發(fā)現(xiàn)它對(duì)IP做了 加固
但是我們有辦法,這就是使用X-Forwarded-For:127.0.0.1
實(shí)現(xiàn)SSRF注入
在報(bào)文里面加上這個(gè),然后實(shí)行
就可以看到還是沒(méi)有flag
這個(gè)時(shí)候一般點(diǎn)下檢查還是會(huì)有提示的:
這個(gè)提示我們需要完成一些操作
看見(jiàn)filemanager,估計(jì)就是文件上傳
果然upload是有用的,但是里面也說(shuō)了,只能是圖片文件
上傳一個(gè)PHP圖片,有Content-Type來(lái)進(jìn)行甄別的,那就改動(dòng)這個(gè)為image/gif
吧
為了保險(xiǎn)起見(jiàn),文件名也改一改
沒(méi)用,怕不是對(duì)文件內(nèi)容做了過(guò)濾
最后經(jīng)過(guò)測(cè)試,如下的改動(dòng)可以回顯出flag
<script language="php"> alert(@eval($_POST['cmd']))</script>
總結(jié)
- 不要總想著解密,md5不配凡人猜出來(lái)
- 第一步過(guò)不去可以嘗試第二步,記得把referer改成第一步的URL,然后把表示第一步的變量改成第二步的變量,比如step=1改成step=2
- IP出現(xiàn)問(wèn)題直接上X-forwarded-For: 127.0.0.1
- 文件上傳漏洞,直接該Content-Type和文件名外,可能還對(duì)內(nèi)容做了過(guò)濾,這個(gè)時(shí)候就需要變通為XSS注入了
- 這道題考了,邏輯漏洞、身份驗(yàn)證漏洞、文件上傳漏洞、XSS漏洞、SSRF漏洞
本文摘自 :https://www.cnblogs.com/