布尔注入介绍：对于基于布尔的盲注，可通过构造真or假判断条件（数据库各项信息取值的大小比较，如：字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码...），将构造的sql语句提交到服务器，然后根据服务器对不同的请求返回不同的页面结果（True、False）；然后不断调整判断条件中的数值以逼近真实值，特别是需要关注响应从TrueFalse发生变化的转折点。0x01Mysql

宽字节注入原理：如图，是一段源码，我们来看看这段源码的功能：第一行是连接数据库第二行是设置编码为gbk编码，即中文编码第四行使用addslashes()函数，这个函数是用来转义单引号的，会将单引号转义为\'，这样的话转义之后我们就无法闭合sql语句例如：selectfirst_name,last_namefromid='1';上面的sql语句，如果是采用单引号闭合，那么经过addslashes()

搭建CTFd平台老规矩，看版本吧，是Ubuntu16.04root@cat:~/CTFd#cat/etc/issueUbuntu16.04.3LTS\n\l先来安装docker跟Docker-composewget-qO-https://get.docker.com/|shsudousermod-aGdockerusername##你的用户名##安装完成之后，可以看看docker版本#使用dock

1、显错注入shot0、查找闭合方式数字型：?id=1正常单引号：?id=1'报错，双引号：?id=1”正常括号：?id=1)正常综上，可知闭合方式为单引号闭合。单引号报错如下：1、查询数据库?id=1'unionselect1,group_concat(schema_name)frominformation_schema.schemata%23前三个是mysql自带的，我们只需要注意后面的几个就

0x00前言GBK是一种多字符编码，一个汉字占2个字节，utf-8编码的汉字占3个字节。addslashes()函数会对括号里(')、(")、(\)、(NULL)、的四个字符添加反斜杠并将其返回。Mysql有一个特性，在进行GBK编码时会将两个字符认为一个汉字（前提是第一个字符的ASCII大于128才能达到汉字范围）。如果SQL输入经过了addslashes()函数处理，我们输入'时会变成\’。一

0x00SQL注入熟悉的感觉，熟悉的配方，还是原来的味道0x01显错注入打的时候吓一跳。。原来就是个本地的，给自己打广告不好吗。。。输入'以后就直接报错了，然后就一翻操作。库1'andupdatexml(1,concat(0x7e,database(),0x7e),1)%23表1'andupdatexml(1,concat(0x7e,(selectgroup_concat(table_name)f

宽字节注入原理即是利用编码转换，将服务器端强制添加的本来用于转义的\符号绕过，从而能使攻击者输入的引号起到闭合作用，以至于可以进行SQL注入。前言GBK是一种多字符编码，一个汉字占2个字节，utf-8编码的汉字占3个字节。addslashes()函数会对括号里(')、(")、(\)、(NULL)、的四个字符添加反斜杠并将其返回。Mysql有一个特性，在进行GBK编码时会将两个字符认为一个汉字（前提

webug4.0——其他篇第二十六关URL跳转第二十七关文件包含漏洞第二十八关命令执行第二十九关webshell爆破第三十关ssrf第二十六关URL跳转打开就是一个完美的页面：感觉这个网站完全可以拿来当作一个相册网站

webug4.0——注入篇第一关显错注入第二关布尔注入第三关延时注入第四关post注入第五关过滤注入第六关宽字节注入第七关xxe注入第八关CSV注入第十一关万能密码登陆今天接触到一个好玩的靶场环境~~webug

0x01相关知识1.宽字节是什么？宽字节字符集：一般指Unicode编码的字符集2.宽字节注入的作用是什么？可以绕过转义，也是绕过转义的其中一个办法3.宽字节注入产生的原因是什么？MySQL连接时错误配置为：setcharacter_set_client=gbk本例错误配置PHP代码：$dbConnectWidth->query("SETnames'gbk'");4.宽字节注入原理是什么？当GPC

一、背景：很久没更新博客了，在工作过程中解除到渗透测试相关内容，首先给小白介绍一个入门渗透测试很好的训练场，就是webug4.0（-是226安全团队送来的新年礼物）；二、详细操作流程：1、前期材料准备：

Webug靶场练习记录-注入篇1.显错注入1.1打开靶场我们先修改url中的id参数的值试试看我们发现修改不同的id值，页面会显示不同的内容，如果数据库中没有相应的值，就不显示，例如id=31.2寻找注入点我们现在来寻找注入点

一、任意文件下载把鼠标放在“下载”上面可以看到路径，直接右键复制链接地址：……/filedownload/file_download.php?file=template/assets/img/2.txt在上面做出修改看能不能下载别的文件?file=template/…/data/dbConfig.php百度上攻略的目录是这个，可以下载到数据库的配置信息，但是我用Bp的spider没找着这个文件路径

盲注在注入时页面无具体数据返回的注入称之为盲注，一般是通过其他表现形式来判断数据的具体内容ps:这就区别与上篇文章的Webug4.0sql显错注入中会直接返回错误信息布尔型盲注页面在执行sql语句后，

第一次实战SQL注入作战类型:显错注入目标:拿下flag数据目标长相:1.判断注入类型输入:and1=1=>正常,再输入:and1=2=>还正常,排除数字型输入单引号:'=>网页发生变化,则为字符型从报错信息可以看出是字符型,故类型为显错注入2.判断字段数接下来判断字段个数:3个报错,2个正常,可知字段数为2个注意:由于是字符型，注入sql语句时,注意最后一个引号的闭合,要使用双引号内嵌或者使用#

防止sql手工注入在php+mysql中,可以通过转义特殊字符来防止污染sql语句(防注入),有两种情况:魔术引号,magic_quote_gpc开关，不过高版本的PHP将去除这个特性安全函数,addslashes，mysql_real_escape_string，mysql_escape_string等。宽字节注入上有计策下有对策,当程序员设置数据库编码与php编码为不同的两种编码，那么就可能产

概念顾名思义,万能密码登录就是只要有输入一个"特殊"的用户名,密码随意输入就可以登录系统分析1.我们先分析一下目标网站,随便输入用户名和密码,查看post包:发现存储用户名和密码的变量分别是:username,password2.猜想登录的sql语句,大体思路是,只要输入的用户名和密码与数据库中的用户名和密码匹配,就登录成功,sql语句如下:select*fromUSERSwhereusernam

0x00前言Webug最后一篇了，虽然都在练习这些入门靶场，但是通过各种坑，在回顾一些老知识的同时，通过查找资料还是能学到一些新的东西的，刚刚开始学习安全不久，感觉还是挺麻烦的，大佬说我还没入门，不过昨天看人家挖

一、布尔注入id=1‘’or1=1–+这里存在注入点id=1’orderby3–+利用orderby判断字段Orderby3的时候页面发生变化。所以应该是有两个可以显示的地方。利用left（）函数判断数据库名，先判断数据库名长度大于5的时候页面发生变化，说明数据库名长度应该是5.id=1’andleft(database(),1)>‘w’–+猜测出数据库名的第一个字符是w前两个是we,这样逐步猜测

延时注入延时注入是基于布尔注入的,简单来说,是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功,我们这时候就可以采用延迟注入.原理通过构造真或假的条件sql语句，sql语句中根据真假使用sleep()函数向服务器发送请求，观察服务器响应结果是否会执行所设置时间的延迟响应，以此来判断所构造条件

/*做这个到最后爆表的时候手工终于爆完了，然后发现爆错表了真是暴风哭泣*/布尔注入是盲注之一，进行sql语句注入后，选择的数据并不能返回到前端。只能利用其他方法来判断，还是简单介绍下学到的知识点。1.left(database(),n)database()数据库名称left()函数表示截取数据库左侧n个字符2.substr(a,b,c)从字符串a的b位置开始截取c个字符,当b为负数时截取位置是从字

Webug3.0靶机搭建一、安装前的准备安装环境：wmware；安装前的准备：61个webug压缩包；压缩包要下全，不然会导致windows2003无法打开。

第四关：post注入打开网站在搜索框中输入‘，之后报错用bp抓包之后保存在本地直接用sqlmap跑，跑数据库sqlmap-rC:\Users\Administrator\Desktop\2.txt-p“keyWordName”--level=2--dbs--batch表名sqlmap-rC:\Users\Administrator\Desktop\2.txt-p“keyWordName”--lev

Docker搭建渗透测试靶场:webug4.0靶场内容1.注入1.1报错注入-flag1.2布尔注入-flag1.3延时注入-flag1.4CSV注入1.5POST注入-flag1.6XML注入-flag1.7

webug4.0从Dockerhub上拉取镜像dockerpullarea39/webug启动过程dockerrun-d-Parea39/webug后台管理员：admin/admin数据库密码：root

一、什么是越权顾名思义就是做服务器没有赋予你权限的事，例如去修改别人账号信息或使用他人账号进行活动，还有访问限权的页面。总之，就是做你没有权限的事。越权又分为水平越权和垂直越权。水平越权可理解为越权到其他用户，对其他用户账号进行操作。垂直越权可理解为个人权限的提升。二、为什么会出现越权总的来说，就是没有对数据没有进行判断和判断失误。细的来讲，水平越权是没有对用户信息进行判断，而导致越权访问其他用户

最近准备学习渗透，发现webug是一个不错的练习平台，可以帮助我们快速入门，安装并登录后有不同的难度供大家练习。

webug4.0——逻辑漏洞篇第二十二关越权修改密码第二十三关支付漏洞第二十四关邮箱轰炸第二十五关越权查看admin第二十二关越权修改密码进入发现只有两个页面，，，一个登陆页面，一个修改密码的页面修改密码的页面是能够成功修改密码的看情况应该是有两个账号的

webug4.0——上传漏洞篇第十七关文件上传(前端拦截)第十八关文件上传(解析漏洞)第十九关文件上传(畸形文件)第二十关文件上传(截断上传)第二十一关文件上传(htaccess)说到底就是上传shell

0x01相关知识1.什么是ssrf？SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）2.ssrf形成的原因是什么？SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取

0x01相关知识1.什么是webshell？webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。2.为什么webshell需要爆破

0x02漏洞利用1.首先打开靶场页面2.尝试输入admin/admin登录好吧成功了我们退出来，因为这个题不是让你用弱口令登录。3.既然他说是越权，那么说明确实存在管理员账户，我们猜测他的sql查询语句是这样的：$sql="SELECTid,username,passwordFROMuser_testWHEREusername='{$username}'ANDpassword='{$passwor

0x01漏洞利用1.打开页面看见url的暗示。。http://192.168.72.136/control/more/file_include.php?filename=../../template/dom_xss.html2.读取boot.inihttp://192.168.72.136/control/more/file_include.php?filename=../../../../boo

0x01相关知识1.什么是htaccess？.htaccess文件(或者"分布式配置文件"）,全称是HypertextAccess(超文本入口)。提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。2.htaccess的功能有哪些？

0x01相关知识1.IIS6.0解析漏洞：IIS6.0解析漏洞分两种1.目录解析以*.asp命名的文件夹里的文件都将会被当成asp文件执行。2.文件解析*.asp;.jpg像这种畸形文件名在“；”后面的直接被忽略，也就是说当成*.asp文件执行。2.Apache解析漏洞：1.Apache1.x以及2.x版本存在解析漏洞，当碰到不认识扩展名是，将会从后向前解析，知道遍历到认识的位置如1.php.ra

0x01漏洞利用1.首先打开页面：分别下载下来内容分别是lifeissort,yourneedme.和HELLOWORLD好吧没发现flag2.审查元素：3.windows和linux系统的关键文件：Windows：C:\boot.ini//查看系统版本C:\Windows\System32\inetsrv\MetaBase.xml//IIS配置文件C:\Windows\repair\sam//存

0x01相关知识1.什么是xss？XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。2.xss的类型？（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。存储型（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。反射型（3）DOM跨站（DOMXSS）：DOM（d

0x01相关知识1.万能密码原理：$sql="SELECT*FROMuserWHEREusername='{$username}'ANDpassword='{$password}'";$res=$dbConnect->query($sql);以上就是典型的sql语句，输入'or1=1#之后sql语句就变成了：$sql="SELECT*FROMuserWHEREusername=''or1=1#'A

0x01相关知识1.什么是xss？XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。2.xss的类型？（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。存储型（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。反射型（3）DOM跨站（DOMXSS）：DOM（d

0x01相关知识1.什么是xss？XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。2.xss的类型？（1）持久型跨站：最直接的危害类型，跨站代码存储在服务器（数据库）。存储型（2）非持久型跨站：反射型跨站脚本漏洞，最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。反射型（3）DOM跨站（DOMXSS）：DOM（d

0x01漏洞发现1.首先在http://192.168.72.136/control/sqlinject/post_injection.php页面中输入1，发现url没有变化，我们初步猜测可能是请求类型可能是post类型。火狐浏览器按f12查看，或者右键审查元素也可以，点击左上角方框，然后移动到输入框，发现果然是post类型。2.在输入框输入1'发现报错，然后在输入框输入1'#发现页面正常返回，说

延时注入介绍：对于基于时间的盲注，通过构造真or假判断条件的sql语句，且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求，观察服务器响应结果是否会执行所设置时间的延迟响应，以此来判断所构造条件的真or假（若执行sleep延迟，则表示当前设置的判断条件为真）；然后不断调整判断条件中的数值以逼近真实值，最终确定具体的数值大小or名称拼写。0x01Mysql数据相关知识1.mysql

0x01Mysql数据相关知识1.mysql三种注释风格：单行注释：sql语句后使用字符#或者--进行注释多行注释：使用/**/将sql语句圈起来注释内联注释：内联注释是MySQL数据库为了保持与其他数据库兼容，特意添加的新功能。把Mysql特有的语句放在/*!*/中2.Union联合查询：1.Union操作符用于拼接两个或者多select查询语句2.Union中的每个查询必须拥有相同的列数3.O

1、先找注入点这里输入test点击搜索，确认xss的位置2、xss位置在value里面，构造闭合test"/>alert(document.cookie)//点击搜索出现弹框

0x01webug4.0镜像下载1.webug官网：www.webug.org2.开发环境：php+mysql+apache3.百度云盘链接：https://pan.baidu.com/s/1fVTQY2wuNCRTQu5

WEBUG逻辑漏洞测试webug平台逻辑漏洞共四个，如下图。一、越权修改密码二、支付漏洞三、邮箱轰炸四、越权查看adminwebug平台逻辑漏洞共四个，如下图。

第一题：普通的GET注入前言：这个注入前期有看过相关的教学视频，对sql注入有一些了解，在手工注入和工具注入中，原理都是修改参数，让数据库报错，是因为开发人员在编程时，对用户输入的参数没有做过滤，直接把错误参数注入到数据库执行，并返回我们想要的结果。第一种方法：手工注入1.打开题目页面在“id=1”后面键入单引号根据错误信息判断此参数存在注入点并可判断出后台数据库为MySQL，错误信息如下2.为了

原文链接：http://www.cnblogs.com/oneWhite/p/11213456.html官网：https://www.webug.org/官方版本里安装视频教程7.19官网打不开，分享当初存在网盘的

前言：这是我第一次接触WeBug靶场，以前也没有任何关于信息安全方面的基础，骨头虽硬，但还是得咬紧牙关去啃它，收获到的东西也必然很多。这是一遍关于初次认识WeBug靶场，初入靶场，请各位大佬轻喷。

0x00文件包含靶场测试包括：本地文件包含session文件包含漏洞远程文件包含利用PHP伪协议靶场首页下面开始今天的测试~~0x01本地文件包含通过目录遍历包含本地文件成功包含PHPStudy的Mysql配置文件读取文件上传关上传的可执行文件。看了一下源码，无任何限制那我们多测几个~~0x02session文件包含漏洞当session的存储位置可以获取时能利用此漏洞从读取文件上传关上传的phpi