1. 突破功能限制漏洞。要求突破查询按钮disable限制，获取编号：110010的查询内容

（弹框中的flag）。

查询元素样式发现，元素上设置了伪类disabled，去除伪类表单即被激活可提交

查询结果成功

flag{byp4ss1s_ez}

2. 用户信息泄漏漏洞。通过回显信息，以暴力破解方式猜测系统中存在的两个用户名

(提示：用户名以 “u” 开头)，并暴力破解这两个用户对应的密码。

根据提示，猜测u开头即为user或user后加数字，测试user user0-5

利用burp Suite Intruder模块的Cluster bomb功能结合弱密码表进行爆破查询

可以看到user，user1触发了302重定向意味着密码正确，暴力破解成功

现实环境中，可利用拖库得到的密码表配合sniper对其他目标网站进行撞库，提高入侵概率

3. 越权漏洞。通过上一步破解的用户名密码登录，利用越权漏洞获取admin与admin1的个人信息。

观察cookies可发现cookies在url解码后，有明显base64特点，解码发现，值实际为user与用户名一致，利用这一漏洞可构造admin，admin1的cookies

将页面http://localhost:8993/web/info.php发送到Burp Repeater

准备利用Cookie漏洞构造admin1的登录Cookie：

Burp Suite构造admin1的Cookie

向用户详情页http://localhost:8993/web/info.php提交替换的Cookie

成功触发越权漏洞。现实中cookies大多基于用户某一特征生成，如果掌握了cookies构造方式并暴力破解计算出密钥即可提权，解决方案可以是cookies采用非对称加密增大破解成本

4. 遍历漏洞。已知当前系统中存在的一个学号为：20190504035XA01。利用遍历漏洞获取其他学号对应的成绩（不少于5条）。

利用burp Suite Intruder模块的Cluster bomb功能，猜测前面的年份，班级号和后面的个人ID可变。修改学号的年份，和班级号和后面的个人ID的最后一位，计算笛卡尔积尝试遍历暴力破解

遍历组合观察结果发现除测试的0外共8条记录response的length不一致，与其他相比较长，这表示学号内有成绩，学号有效。其中有成绩的response的长度较大以此特征筛选出有效学号：

5. 暴力破解攻击。获取系统中另一个六位数字编号对应的弹框flag内容。

抓取第1题的POST请求，并修改payload字段为number

从000000-999999开始执行遍历扫描

扫描完成后，按Length执行排序：

可以看到用户id 735142的length较大，测试请求

得到flag

flag{d1ct_1s_v3ry_1mp0rt4nt}

Comments

Leave a comment

Submit