Hackinglab(鹰眼)——综合关

1、渗透测试第一期

• 打开靶场。是一个登录界面，有忘记密码和注册功能。
• 
• 根据题目提示，其给出了一个用于绑定的手机号，并且会在需要手机号码的页面给出。
• 先尝试自己注册一个用户。
• 
• 注册成功后需要绑定手机号码。
• 
• 按F12查看源代码，发现手机号码。
• 
• 输入手机号码，成功获得验证码。
• 
• 输入验证码，绑定成功，获得key，但是是乱码。
• 
• 使用bp抓包该绑定页面。
• 先获得验证码，输入验证码进行绑定，得到绑定成功的弹窗，打开代理，再点击确定，拦截成功。右键发送给重发器。
• 
• 点击重发器，点击发送，得到乱码字段的真实含义。
• 
• 既然提示key在管理员那，也就是说需要使用admin进行登录。
• 尝试注册一个admin来进行登录。
• 
• 注册失败。
• 
• 尝试修改admin的密码，但是admin绑定的并不是这个手机号码。
• 
• 在之前尝试获得乱码字段时，无意发现绑定手机号码时传递的参数有用户名。尝试使用bp抓包，修改用户名重新绑定admin的手机号码。
• 打开注册页面，随便注册一个用户。输入手机号码，获取并输入验证码，打开代理，再点击注册。
• 成功抓包，右键发送给重发器。
• 
• 点击重发器，修改用户名为admin。
• 【注】不要中途关闭代理，验证码会改变。
• 
• 点击发送，绑定成功。
• 
• 点击忘记密码，输入手机号码，成功获得验证码。
• 
• 输入验证码，成功重置密码。
• 
• 使用新密码登录admin，登录成功，获得key。
• 

2、没有注入到底能不能绕过登录

•  打开靶场。
• 
• 尝试弱口令进行登录。
• 
• 登录失败，返回error。
• 
• 按F12，题目为Login Brute Force(So easy!)，尝试使用暴力破解。
• 
• 打开bp和代理，随便输入用户名和密码，点击登录，成功抓包。右键发送给测试器。
• 
• 点击测试器，修改爆破位置和爆破类型。
• 
• 点击有效载荷，在1中载入用户名字典，在2中载入密码字典。
• 
• 点击选择，设置线程数，点击攻击。
• 
• 成功爆破出用户名和密码。
• 
• 使用用户名test和密码test进行登录。
• 
• 登录成功，提示key在admin页面。
• 
• 对admin进行密码爆破，但是没有爆破出来。
• 使用御剑扫描该网站，发现了robots.txt。
• 【注】robots.txt文件是一种文本文件，它通常放在网站的根目录下，其作用是告诉搜索引擎爬虫哪些页面可以抓取，哪些页面不能抓取。
• 
• 访问/robots.txt/，发现了另外一个页面。
• 
• 访问/myadminroot/，提示要以admin进行登录。（此时登录的是test）
• 
• 但是之前尝试了并不能爆破出admin的密码，那尝试欺骗后台现在登陆的用户就是admin。
• 使用bp抓包admin用户的登陆页面，密码随便。
• 
• 右键发送给重发器。
• 
• 在重发器中，先点击一次发送。
• 
• 修改post的目标页面，即/myadminroot/，点击发送，成功获得key。
• 
• 【注】原理：后台对登陆状态没有验证，仅仅验证了登陆用户的权限。系统在我们第一次使用admin登陆时，会默认当前为admin权限。此时只要保持会话，然后重新打开新的路径，即可以admin的权限拿到key。

3、美图闪亮亮交友平台

• 打开靶场，输入信息提交。
• 
• 提示照片是通过管理员审核后才推送到首页的。
• 
• 返回首页，经过测试，发现姓名和描述的输入没有做太多的限制，但是图片输入必须是url。
• 根据题目提示，没有xss漏洞。所以没有必要对姓名和输入构造xss攻击。
• 
• 按F12查看源代码，提示该网站没有后台。
• 
• 又根据题目提示，管理员用的是手机wap邮箱，而且管理员的手机不支持Cookie。
• 【注】早期的wap邮箱因网络带宽限制，通常不会直接显示邮件中的图片，需要用户手动点击下载。随着移动网络的发展，新版本的wap邮箱可以显示图片。但显示与否也取决于用户的具体设置。由于管理员的手机不支持Cookie，无法在客户端保存用户偏好。每次打开邮件，是否显示图片将取决于默认设置。大多数wap邮箱的默认设置是不自动下载大图片，以节省流量费用。所以，如果邮件中的图片链接指向大图片或高清图片，管理员的wap邮箱很可能不会自动显示，需要手动点击图片链接下载并查看。
• 既然该网页没有后台，网页不会对我们的输入的内容再进一步地过滤，而且管理员需要点击图片链接才能审核图片。那我们就可以把图片url伪装成我们自己服务器的地址，然后写一个脚本进行监听，当管理员访问我们的服务器时，就可以获得管理员的邮箱。
• 编写python脚本，监听5001端口（自行打开）：

• import socket
  # 创建套接字
  skt = socket.socket(family=socket.AF_INET, type=socket.SOCK_STREAM)
  # 设置地址可重用
  skt.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
  # 绑定主机和端口
  skt.bind(('0.0.0.0', 5001)) #IP设为'0.0.0.0'表示绑定主机所有网卡地址
  # 监听服务
  skt.listen(5) #最大等待连接数为5
  
  if __name__ == '__main__':
      while True:
          print('waiting for connection...')
          tcpCliSock, addr = skt.accept() #接收客户连接
          print('...connnecting from:', addr) #addr：客户端地址信息
  
          while True:
              data = tcpCliSock.recv(1024) #接收发送的数据
              if not data:
                  break
              print(data)
          tcpCliSock.close()
      tcpSerSock.close()
  

• 先运行脚本，再在图片url中输入服务器地址，点击提交。
• 
• 发现并没有响应。回想起源代码中的提示，访问http://lab1.xseclab.com/xss4_730ee2b59ca3b71c25efa2147498b35e/test.php [POST] url=http://baidu.com/，发现并不能得到响应，只好放弃。
• 暂时不知道原因，感兴趣可以查看其他writeup：hackinglab 综合关三——美图闪亮亮交友平台_小猪猪水上漂的博客-CSDN博客

待续。。。