文章目录 Brute ForceLowMedium Command InjectionLowMediumHigh CSRFLowMediumHigh File InclusionLowMediumHigh
https://blog.csdn.net/weixin_52385170/article/details/127.0.0.https://blog.csdn.net/weixin_52385170/article/details/1&ipconfig
https://blog.csdn.net/weixin_52385170/article/details/127.0.0.https://blog.csdn.net/weixin_52385170/article/details/1&systeminfo
https://blog.csdn.net/weixin_52385170/article/details/127.0.0.https://blog.csdn.net/weixin_52385170/article/details/1&dir
上面的被转义的符号你真的看清楚了吗,哪些之间有空格,哪些没有你确定自己看清楚了吗
而在真实地攻击环境中,我们通常是给受害者发送一个链接,而在正常的情况下我们通常不会点击一个很长的看起来就不正常的链接,这个时候我们就需要好好学习社会工程学,学会利用人们的心理来达到我们的目的,诱使他们点击我们构造的链接通常情况下会把长链接构造成一个短链接,这个时候我们可以利用网上很多在线工具)
比如:站长工具:短链接生成器(就会自动帮我们生成一个短链接)
我们也可以通过构造一个页面。
修改密码的链接重定向到一个自己写的一个错误页面,用户点击之后以为出错了,实际已经执行了恶意代码。
点击进入链接,出现上图错误页面,但其实已经执行了语句。
如上图所示验证成功。
PHPif( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf = $_GET[ 'password_conf' ]; // Do the passwords match? if( $pass_new == $pass_conf ) { // They do! $pass_new = ((isset($GLOBALS["___Mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); $pass_new = md5( $pass_new ); // Update the database $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); // Feedback for the user echo "Password Changed.
"; } else { // Issue with passwords matching echo "Passwords did not match.
"; } ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);}?>
基于token的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
https://blog.csdn.net/weixin_52385170/article/details/1.客户端使用用户名跟密码请求登录;
2.服务端收到请求,去验证用户名与密码;
3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端;
4.客户端收到 Token以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;
5.客户端每次向服务端请求资源的时候需要带着服务端签发的;
6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
查看源码,发现没有任何限制
如果出现如下提示
修改配置文件,将allow_url_include 开启为on
如果还不行,看远程包含是否开启
源码中暴露的问题:
正常的长传文件,没有做任何过滤,并且输出了上传文件的路径信息
文件上传文件后,文件直接保存,保存路径为hackable/uploads/,文件上传成功后,返回succesfully。
上传成功!!!
// Where are we Going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // File infORMation $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + https://blog.csdn.net/weixin_52385170/article/details/1); $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; $uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ]; // Is it an image? if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && ( $uploaded_size < https://blog.csdn.net/weixin_52385170/article/details/100000 ) && getimagesize( $uploaded_tmp ) ) { // Can we move the file to the upload folder? if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { // No echo 'Your image was not uploaded.
'; } else { // Yes! echo "{$target_path} succesfully uploaded!
"; } } else { // Invalid file echo 'Your image was not uploaded. We can only accept JPEG or PNG images.
'; }}?>
getimagesize(string filename)函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。
我们可以通过生成图片马的方式上传文件
在命令行下用copy命令将图片mm.jpg和之前的一句话木马shell.php合并在一起
上传3.jpg
此时由于图片马中的php代码并没有被解析,所以不能直接使用蚁剑进行连接,这里可以通过命令执行漏洞将文件名改为php
https://blog.csdn.net/weixin_52385170/article/details/1' or 'https://blog.csdn.net/weixin_52385170/article/details/1' = 'https://blog.csdn.net/weixin_52385170/article/details/1
ORDER BY 语句用于对结果集进行排序。
而order by x 可以从https://blog.csdn.net/weixin_52385170/article/details/1开始,https://blog.csdn.net/weixin_52385170/article/details/1 表示的第一个字段,2表示的第二个字段
如此类推就可以了,但是当不存在那个字段的时候,就会产生这样的错误。 unknown column name x,这样,字段数就是x-https://blog.csdn.net/weixin_52385170/article/details/1。
(为了方便我们直接把SQL语句中后续语句全部注释掉不执行,在判断语句后加 #,全部注释掉就可以不用考虑单双引号闭合的问题)
一共有两列
那uNIOn查询有哪些特性呢?
https://blog.csdn.net/weixin_52385170/article/details/1.Union必须由两条或者两条以上的SELECT语句组成,语句之间使用Union链接。
2.Union中的每个查询必须包含相同的列、表达式或者聚合函数,他们出现的顺序可以不一致(这里指查询字段相同,表不一定一样)
3.列的数据类型必须兼容,兼容的含义是必须是数据库可以隐含的转换他们的类型
4、只有当前一条语句不成立时才会执行后一条
可以知道,https://blog.csdn.net/weixin_52385170/article/details/1和2两个位置都可以回显。
利用2位置,查看当前的数据库为dvwa
https://blog.csdn.net/weixin_52385170/article/details/1’ union select https://blog.csdn.net/weixin_52385170/article/details/1,group_concat(table_name) from information_schema.tables where table_schema = ‘dvwa’#
此时可能会出现Illegal mix of collations for operation 'UNION’问题
是编码问题,去数据库修改
https://blog.csdn.net/weixin_52385170/article/details/1’ union select https://blog.csdn.net/weixin_52385170/article/details/1 , group_concat(column_name) from information_schema.columns where table_name = ‘users’ #
https://blog.csdn.net/weixin_52385170/article/details/1’ union select user,password from users#
我们发现不能进行语句输入
点击
之后会出现一个新的界面
在新的界面输入内容,点击submit
返回结果输出在原来的界面上,其他同Low。
代码审计
但最后出现了302重定向会返回登录页面,证明这个页面需要cookie,那么我们接下来就复制数据包中的cookie
记住,记住,记住,千万记住(重要的事情说好几遍)一定要把这个文件放在sqlmap下面,不要问我为什么,因为新建文件的原理就是让工具读取文件,你已经进入sqlmap里面了,所以为了方便你当然得把文件建在sqlmap里面啊。
结果如上图所示,之后步骤同low。
https://blog.csdn.net/weixin_52385170/article/details/1' and length(database())=https://blog.csdn.net/weixin_52385170/article/details/1#
https://blog.csdn.net/weixin_52385170/article/details/1’ and length(database())=https://blog.csdn.net/weixin_52385170/article/details/1#
https://blog.csdn.net/weixin_52385170/article/details/1’ and length(database())=2#
https://blog.csdn.net/weixin_52385170/article/details/1’ andlength(database())=3#
https://blog.csdn.net/weixin_52385170/article/details/1’ and length(database())=4#
直至猜测长度为4时才返回正常结果
此时我们知道数据库的长度为4
https://blog.csdn.net/weixin_52385170/article/details/1' and ascii(substr(database(),https://blog.csdn.net/weixin_52385170/article/details/1,https://blog.csdn.net/weixin_52385170/article/details/1)>97#
思路因为主要是猜,猜测具体名字就是用无数遍的二分法等算法猜
结果不会延迟说明不是数字型
结果延迟说明是字符型
接下来的步骤就同布尔型注入了
那么这个语句是怎么闭合的呢?
学过html语言的我们都知道都是双标签,也就是说会识别两个标签之间的语句,那么我们就人为把它闭合起来,在执行过程中,一旦存在一对标签,那么就会执行这里面的语句,无法构成成对标签的不会执行里面的语句,而是单标签,也就是说他要把执行的语句涵盖在里面
但这个闭合和之前的可不太一样。 我们在english后面加了注释符,很多人问了注释符不就代表后面的语句不会执行了吗,那闭合又有什么用呢。
哎,这就是DOM与其他的最大的区别了因为DOM是不会和后端的服务期进行交互的,它只是利用DOM解析树,而DOM解析树依旧会解析注释符后面的语句,只要解析了就可以成功执行。
在这里要注意的是,输入语句后,很多同学会疑惑为什么没反应,别慌,你没有错,这个时候你只需要刷新一下就好了。(但如果刷新不行,可能真的是你的语句有问题)
标签替换为空,所以我们想办法绕过ipt>alert(https://blog.csdn.net/weixin_52385170/article/details/1)
标签进行了严格的过滤
法一
对name的值那个修改(这里肯定会有人问为什么是name,因为message里面的东西是要存储的解析器并不会解析message里面的内容,而是要解析name里面的内容便于查询,类似于标识符的概念,用户进行后续操作时都是对name以name为唯一识别进行操作)//以上只是我个人对于这个问题的理解,只是便于理解(也不知道有没有写清楚,如果不懂的同学可以去查询其他的资料)
这一级别与反射型xss的中级是一样的通过大小写或者双写,只不过是通过抓包修改数据包。
这一级别与反射型xss的高级是一样的通过修改标签,只不过是通过抓包修改数据包。
--结束END--
本文标题: DVWA(全级别通关教程详解)
本文链接: https://www.lsjlt.com/news/374235.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-05-23
2024-05-22
2024-05-21
2024-05-21
2024-05-21
2024-05-21
2024-05-13
2024-05-13
2024-05-11
2024-05-11
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
一口价域名售卖能注册吗?域名是网站的标识,简短且易于记忆,为在线用户提供了访问我们网站的简单路径。一口价是在域名交易中一种常见的模式,而这种通常是针对已经被注册的域名转售给其他人的一种方式。
一口价域名买卖的过程通常包括以下几个步骤:
1.寻找:买家需要在域名售卖平台上找到心仪的一口价域名。平台通常会为每个可售的域名提供详细的描述,包括价格、年龄、流
443px" 443px) https://www.west.cn/docs/wp-content/uploads/2024/04/SEO图片294.jpg https://www.west.cn/docs/wp-content/uploads/2024/04/SEO图片294-768x413.jpg 域名售卖 域名一口价售卖 游戏音频 赋值/切片 框架优势 评估指南 项目规模
0