Webug靶场练习
关注
分享
扫一扫
元元宝贝
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
webug4.0通关之路(1)显错注入
一、题目打开二、在URL处进行注入测试三、利用注入点猜测列:暴库:爆表名:爆列名:探测字段内容:原创 2020-04-25 22:40:12 · 864 阅读 · 0 评论 -
我的webug通关之路:第五关(中级篇)
一、关卡题目题目提示是一个时间注入漏洞二、打开题目三、我们输入时间盲注的语句检测一下四、由于时间注入的手工检测方式必须要一下一下比对或者是用二分法,都特别的费时,此刻就可以使用我们的SQLmap来进行注入爆数据库:结果:爆表名:爆flag表的列名:获取flag字段的内容:五、在网上看到了一个自己写的Python的脚本来进行时间的盲注,在此处粘下来,一起学习...原创 2020-04-21 22:09:43 · 319 阅读 · 0 评论 -
我的webug通关之路:第四关(中级篇)
一、关卡题目二、打开题目三、下载下来可以知道这是一个APK逆向的题目由于下载和第一次使用apktool这个工具,浪费了很长的时间四、搭建安卓开发环境又是一个浪费时间的过程此题暂时略过,后边的步骤只需安卓开发环境具备后,使用命令apktool d test.apk进行反编译就会有flag...原创 2020-04-21 19:37:55 · 255 阅读 · 0 评论 -
我的webug通关之路:第三关(中级篇)
一、关卡题目题目提示这一关是一个注入漏洞二、对页面进行检查,发现URL处没有对数据库的交互,页面也没有其他点击的地方三、怀疑是一个头部信息的注入,使用burpsuite进行检验头部注入有X-Forwarded-For、User-Agent、Referer、cookie、host四、对注入点进行利用爆数据库:爆表:爆flag表的列名:爆flag:...原创 2020-04-21 16:53:45 · 279 阅读 · 0 评论 -
我的webug通关之路:第二关(中级篇)
一、题目二、打开页面发现很相似,进行点击,怀疑也是一个任意文件读取漏洞三、在URL处未见传入的参数,进行抓包查看四、进行测试五、对其他文件进行读取...原创 2020-04-21 01:01:07 · 258 阅读 · 0 评论 -
我的webug通关之路:第一关(中级篇)
一、关卡题目二、进入后点击发现无效果三、根据查看源代码发现路径错误四、修改源代码后,正常返回图片五、这个漏洞是任意文件读取漏洞六、进行检验...原创 2020-04-21 00:51:49 · 200 阅读 · 0 评论 -
我的webug通关之路:第十五关(基础篇)
第一步:页面提示图片无法上传第二步:打开题目第三步:上传一个一句话木马得到的回显:第四步:使用burpsuite拦截查看第五步:修改MIME原创 2020-03-21 16:27:40 · 206 阅读 · 0 评论 -
我的webug通关之路:第十四关(基础篇)
第一步:页面提示是一个存储型XSS漏洞第二步:打开题目第三步:在留言处上传第四步:成功弹框第五步:审查网页元素原创 2020-03-21 15:55:33 · 162 阅读 · 0 评论 -
我的webug通关之路:第十三关(基础篇)
第一步:关卡提示是XSS漏洞第二步:打开页面,只有一个666的超链接,无任何交互的窗口第三步:打开审查页面查看第四步:点击超链接,转到什么页面第五步:传递检测XSS代码...原创 2020-03-21 11:20:12 · 229 阅读 · 0 评论 -
我的webug通关之路:第八关(基础篇)
第一步:根据网上的攻略,和webug的提示,对这个题又有些想法,进行尝试webug提示是一个CSRF漏洞第二步:进去操作,抓包进行查看第三步:抓包查看第四步:构造恶意页面第五步:将恶意网页的链接发给管理员,等待管理员的点击,只要管理员一点击,就会获取flag...原创 2020-03-16 19:15:42 · 203 阅读 · 0 评论 -
我的webug通关之路:第九关(基础篇)
第八关弄了很长时间,没有弄出来,曾一度以为我的webug有什么问题,重新下载了一个哎。忽略第八关,开启第九关。第一步:第九关是要跳转到百度第二步:打开是一个登录窗口第三步:常试登录一下,发现可以使用前面关卡的用户名和密码登录第四步:登录后的页面和前面一样,但是修改密码后会转向找不到服务的页面第五步:题目提示要转到百度的页面,那么可能是一个URL漏洞第六步:成功解决...原创 2020-03-16 15:08:24 · 244 阅读 · 0 评论 -
我的Webug通关之路:第二关(基础篇)
第一步:拿到网页来发现网页是否存在问题第二步:发现并不存在xss,按照网页提示下载到本地查看照片存在什么信息使用WinHex查看照片的十六进制第三步:将照片后缀名改为.zip来查看隐藏的是什么文件...原创 2020-03-14 16:26:45 · 345 阅读 · 0 评论