过期的秋刀鱼

查看页面源代码，发现双引号被做了转义，只能通过其他方式去绕过。发现还是不行，后端把 我们输入的大写，替换成了小写。测试，查看源代码，依旧替换了script。查看页面源代码，发现三个隐藏起来的输入框。通过单引号闭合，使用触发事件来绕过。后面输入最近基本的xss语法。尝试其他方法绕过，使用伪协议。使用上一关的通过代码，发现把。没有输入框可以在地址栏中绕过。使用大写绕过，看看是否可行。我们可以尝试点击事件，双写。可是试着尝试上一关的方法。通过查看源码得知，替换了。输入的时候，才有变化。

该php代码中允许上传图片，但会对图片进行二次渲染，因此我们需要绕过二次渲染的部分，也就是在在二次渲染不会改变的部分加入我们需要的php木马的代码。来确认文件名的后缀，但是最后保存文件的时候没有重命名而使用的原始的文件名，导致可以利用1.php. .(点+空格+点)来绕过。​ 0x00是十六进制表示方法，是ascii码为0的字符，在有些函数处理时，会把这个字符当做结束符。​ 系统在对文件名的读取时，如果遇到0x00,就会认为读取已结束。同样的白名单策略，与上一关不同的是，这次换成了。

当用户在在文件上传的功能模块处上传文件时，如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验，攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击，这种情况下认为系统存在文件上传漏洞，根据上传后文件存放位置不同，上传后对文件操作不用，可能会导致不一样的结构，包括完全控制系统，覆盖服务器文件等等。文件上传漏洞的利用分两步，第一需要能上传恶意文件，第二，恶意文件需要被触发，通过服务端自动运行触发或者攻击者配合其他漏洞手动触发。上传成功，给出了上传文件路径，使用蚁剑连接一句话木马。

=选项时，就可以通过php的某些特性函数 (include()、require()、include_once()、require())利用url去动态包含文件，此时如果 没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。需要特别说明的是，服务器包含文件时，不管文件后缀是否是php，都会尝试当做php文件执行，如果文件内容确为php，则会正常执行并返回结果，如果不是，则会原封不动地打印文件内容，所以文件包含漏洞常常会导致任意文件读取与任意命令执行。文件包含漏洞，是指当服务器开启==

查看页面代码，发现我们构造的语句已经被插入到了value当中，不能成功执行的原因是select标签中只允许内嵌option标签，而option标签是不能嵌套我们构造的img标签的，因此我们需要先将前面的select标签和option标签都闭合后才能使用img标签.只能找方法绕过服务器端的处理，直接在本地运行我们构造的语句，可以过“#”来注释掉后面的内容，因为URL栏中的“#”之后的内容不会被发送到服务器当中去，不会经过JS的过滤，只在客户端显示，可以直接与浏览器进行交互。发现没有什么防御，直接。

首先访问有user_token的页面，bp拦截到当前页面链接使用宏配置，正则表达过滤user_token输入账号密码拦载，将拦截的内容先放到重发器(Repeater)里面测试一下，user_token是否会变，如果变了，表面之前的宏设置成功最后使用测试器(Intruder)，进行密码爆破，使用集束炸弹模式。

函数查找字符串在另一字符串中第一次出现的位置（不区分大小写）代码检查了保留变量HTTP_REFERER （http包头部的Referer字段的值，表示来源地址）是否包含SERVER_NAME（http包头部的 Host 字段表示要访问的主机名）。CSRF，跨站域请求伪造，通常攻击者会伪造一个场景（例如一条链接），来诱使用户点击，用户一旦点击，黑客的攻击目的也就达到了，他可以盗用你的身份，以你的名义发送恶意请求。修改密码的链接过于明显，可以使用一些缩短链接的方法，这样用户更容易上当。安全等级修改为low。

sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL进行SQL注入。就是通过把恶意的sql命令插入web表单递交给服务器，或者输入域名或页面请求的查询字符串递交到服务器，达到欺骗服务器，让服务器执行这些恶意的sql命令，从而让攻击者，可以绕过一些机制，达到直接访问数据库的一种攻击手段。，他是一个存储记录所有数据库名，表名，列名的数据库，通过查询他获取指定数据库下面的表名和列名信息。sqlmap是一个跨平台的工具，很好用，是SQL注入方面一个强大的工具！

但仔细观察发现有一个过滤是’| ‘，这个过滤是加了空格的，说明这个过滤其实是没用的，只需要’|’后面直接加入参数，不保留空格，我们依然可以用这个命令连接符进行命令注入。加入了Anti-CSRF token，同时对参数ip进行了严格的限制，只有诸如“数字.数字.数字.数字”的输入才会被接收执行，因此不存在命令注入漏洞。’字符过滤掉了，但我们可以使用黑名单之外的命令连接符命令注入。注入命令过程中，常常需要使用一些系统命令的拼接方式，以达到更多复杂功能的实现，尤其是存在限制的情况，运用好可用来绕过限制。

不存在就设为 0，生成 cookie 时就在 cookies 上 dvwaSessionId + 1。当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带Sesion去访问。所以只需将数字使用md5加密，循环的方式跑脚本，依然可以破解。点击Generate(生成会话)，使用bp进行抓包。的值，但是依然无法改变每次加一的规律。在bp上抓包，复制Cookie信息。,将url粘贴到地址栏，将复制的。将获取当前的时间戳作为了会话的值。

在使用pikachu的时候发现这个问题，好像是因为。漏洞的时候，修改个人信息，报错问题解决如下。显示行号在末行模式下输入。再次访问网站就可以了。

“暴力破解"是一攻击具手段，在wb攻击中，一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作理论上来说，大多数系统都是可以被暴力破解的，只要攻击者有足够强大的计算能力和时间，所以断定一个系统是否存在暴力破解漏洞，其条件也不是绝对的。我们说一个wb应用系统存在暴力破解漏洞，一般是指该wb应用系统没有采用或者采用了比较弱的认证安全策略，导致其被暴力破解的'可能性"变的比较高。

标签中的内容，那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档，或者执行 JavaScript 表达式、方法和函数的列表。href 属性的值可以是任何有效文档的相对或绝对 URL，包括片段标识符和 JavaScript 代码段。这次是从url中获取我们输入的text参数的，这就类似反射型，构造闭合即可。函数就是把单引号，双引号，尖括号过滤了，但是这个函数默认是不过滤单引号的。的弹框后，点击确定，发现有个删除，说明确实是存到数据库里了。永久性和一次性的区别，会永久的存储在数据库中。

分析一下这个token的作用了。按照前面csrf get的方法，攻击者会伪造一个GET URL去让用户点击。但用户正常提供GET请求时，会把服务器返回的token填入和提交，而攻击者伪造URL时除非前期抓包获取到这个返回的token，否则他是不会知道这个token的。所以攻击者无法构造GET URL。同理，对于POST方法也是一样。所以，使用token是一个很好的防御CSRF攻击的方法。post请求伪造，可以通过钓鱼网站，诱导用户去点链接。使用BP生成CSRF POC。根据提示的用户信息登录。

跨表查询：↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓。，也相当于可以通过查询它获取指定数据库下面的表名或列名信息。以上版本中，mysql存在一个自带数据库名为。用户登录的数据库，数据库版本是。自定义关键字：select。或者用bp抓包，构造闭合。第二位和第三位为显示位。查看数据库验证是否正确。存储的是数据库的名称。字段存放数据库的名字。

逻辑运算符::&&：代表首先执行命令a，若成功再执行命令b，又被称为短路运算符。&：代表首先执行命令a再执行命令b，不管a是否成功，都会执行命令b。在执行效率上来说“&&”更加高效。||：代表首先执行a命令再执行b命令，只有a命令执行不成功，才会执行b命令。|：代表首先执行a命令，在执行b命令，不管a命令成功与否，都会去执行b命令。（当第一条命令失败时，它仍然会执行第二条命令，表示A命令语句的输出，作为B命令语句的输入执行。

无非就是换成一个远端的路径，读取远程文件。查看windows系统的主机映射文件。随便选择一个点击提交，提交后观察。访问我们想要看到的文件内容。我们可以使用相对路径。

文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。任意点击一张图片连接，下载，查看图片的下载 链接，进行分析。

MIME（多用途互联网邮件扩展类型），是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展文件被访问的时候，浏览器会自动使用指定应用程序来打开。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，比如一句话木马，从而导致后台服务器被webshell。当用户点击上传按钮后，后台会对上传的文件进行判断。这里用GIF的文件头，在一句话木马前加上GIF的文件头标识，后缀改为png格式。所以，在设计文件上传功能时，一定要对传进来的文件进行严格的安全考虑。

一般越权漏洞容易出现在权限页面（需要登录的页面）增、删、改、查的的地方，当用户对权限页面内的信息进行这些操作时，后台需要对当前用户的权限进行校验，看其是否具备操作的权限，从而给出响应，而如果校验的规则过于简单则容易出现越权漏洞。如果使用A用户的权限去操作B用户的数据，A的权限小于B的权限，如果能够成功操作，则称之为越权操作。越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的。先使用管理员账户登录，登录后，可以看到能够对用户进行增删查操作。回到靶场的页面，刷新，可以看到有多条。

在web功能设计中,很多时候我们会要将需要访问的文件定义成变量，从而让前端的功能便的更加灵活。当用户发起一个前端的请求时，便会将请求的这个文件的值(比如文件名称)传递到后台，后台再执行其对应的文件。在这个过程中，如果后台没有对前端传进来的值进行严格的安全考虑，则攻击者可能会通过“…/”这样的手段让后台打开或者执行一些其他的文件。从而导致后台服务器上其他目录的文件结果被遍历出来，形成目录遍历漏洞。

由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到。比如：—通过访问url下的目录，可以直接列出目录下的文件列表;—输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;—前端的源码（html,css,js）里面包含了敏感信息，比如后台登录地址、内网接口信息、甚至账号密码等;类似以上这些情况，我们成为敏感信息泄露。

libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP 基于表单的上传、代理、cookies和用户名+密码的认证。,但又没有对目标地址做严格过滤与限制，导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。根据后台使用的函数的不同,对应的影响和利用方法又有不一样。

如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话 就可能发生"跳错对象"的问题。在点击第四个链接的 时候，地址栏的url发生了变化，地址栏后面多了参数。不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。回车之后跳转到百度的页面。