Web for Pentester 实验合集

0x00 introduction

Pentester Lab 是渗透测试学习实战平台，在里面提供各种漏洞实验的虚拟机镜像文件，让网络安全爱好者和黑阔进行实战式的训练，可以使其更加深刻地且透彻理解“漏洞”。官方网站：

https://pentesterlab.com/

官网截图：

虽然有些实验是收费的，但是总体来说，免费的还是占多数的。

本文进行操作的是“Web for Pentester”实验。

点击进入实验主页，下载iso镜像文件，

实验主页地址

https://pentesterlab.com/exercises/web_for_pentester

下载好的镜像文件是要放在虚拟机里的，至于虚拟机怎么安装ISO镜像文件，百度很多，这里就不细说了。

安装好了之后，它发现是自动登录了，ifconfig一下看一下ip地址。

直接访问ip即可，看到的是这样子的

那么首先从XSS开始

0x01 XSS-Example 1

点进去我们发现

可以清楚的看到url上有个name，通过改变name的值，发现下面的值也会有变化。

那么尝试在name上加上XSS的代码来进行测试

Payload: :

?name=<script>alert(/xss/)</script>

其实第一关肯定是最简单的，name这个参数不用想就知道是有问题的。

0x02 XSS-Example 2

发现还是和第一关是一样的页面。还是尝试改变name参数，发现内容也是随之而改变。

那么猜想，可能是进行了某种过滤，还是用第一关的payload尝试一下。

再查看下源代码，可以直观的看到2个<script>被变成空了。

那这个也是老套路了，1个变成空，那么我就来2个，类似<scriscriptpt>就行了。中间那个过滤成空了，剩下的拼接在一起，还是<script>。

Payload:

?name=<scriscriptpt>alert(/xss/)</scriscriptpt>

额，可是结果，

失败了。没弹窗，右键看下源代码，发现，不是把script替换成空

那么猜测后端可能是匹配<script>，</script>，如果出现,就替换成空，尝试用大小写绕过

成功，payload:

?name=<scripT>alert(/xss/)</scripT>

0x03 XSS-Example 3

一样熟悉的界面，name参数肯定是突破点，还是用老方法，用最常用也就是第一关的payload尝试。

发现还是和第二关是一样一样的。好，那我们用第二关的payload尝试

发现也被过滤了，也就是说匹配<script>，</script>，但是忽略了大小写，反思一下前面做的，发现，他是连用”<>”一起过滤的，也就是说scscriptript是不行的，但是要把<>也算进去，所以是<scri<script>pt>，当然这也算是猜测，那么尝试一下。

发现成功了。Payload:

?name=<scri<script>pt>alert(/xss/)</scri</script>pt>

0x04 XSS-Example 4

还是一样的场景。老方法，用最正常的payload去尝试，看看返回的结果是什么。

这次直接报error了，

也就是说在后端的处理，是直接检测到关键字就报error，而不是替换再输出，那么我们就要各种尝试了，看看他是匹配什么关键字的。，下面就是一些尝试

 ?name=<script>alert(/xss/) 报error
?name=alert(/xss/)</script> 报error
?name=alert(/xss/) 返回alert(/xss/)

说明一旦出现<script>，</script>，就报error。那就简单了，能执行xss代码的语句不止一个，只要不出现上面2个关键字就行。

Payload:

?name=<svg/onload=alert('xss')>

0x05 XSS-Example 5

还是一样的界面，不多说，还是直接上最简单的payload

还是和上一关一样的场景。这次思考了一下，上面是过滤<script>,那在这次就可能过滤函数了。尝试一下

果然过滤了函数，其实alert在实际的情况下并不会起太大的作用，只是起到测试效果而已。当然过滤函数也是现实中常用的防范方法，解决方法就是，这个函数不行，那就换一个同样效果的函数.比如说，用prompt()来替代

Payload:

?name=<script>prompt(/xss/)</script>

当然了，除了prompt()，和alert()还有类似的弹窗效果的还有confirm()

0x06 XSS-Example 6

恩，开始界面还是一样的，就直接上最简单的payload,看看效果了

这次又变了，看下网页源代码

这次是直接放在了变量里，不得不说，越来越贴近实际情况了。其实这也是最简单的一种，只要精心构造语句，然后把引号闭合，就可以执行后面我们想要执行的代码了。接下来，就来尝试一下，首先，看到提交的内容都是在完整的在引号里，那么就可以先闭合引号，然后分号(;)表示一句结束，然后alert语句,最后注释（//）最后一个分号即可，即?name=”;alert(“xss”);//

Payload:

?name=";alert("xss");//

0x07 XSS-Example 7

还是一样，用最普通的payload尝试，查看源代码可以看到，果然进行了过滤

把尖括号给编码成了html字符实体，所谓的html字符实体，简单的说就是html里的预留字符，就像是C语言中的int不能作为变量名一样，为了防止html把尖括号误认为标签，所以要进行编码.

从上面的测试中可以看到只是编码了尖括号，但是因为上下文已经有了script标签，所以就不需要我们再加上<script>了。好吧，其实我们上一关也是这个思路，是直接借用了它自己的<script>标签，所以用上一关的payload也能成功，

额，没有成功，貌似把双引号等一些特殊符号都给编码了。但是仔细看和上一题不同的是，这里用的是单引号，把payload的引号换一下试试。

很幸运的是单引号没被编码，payload:

?name=';alert('xss');//

0x08 XSS-Example 8

还是提交常规payload,

可以看到，提交参数的方式变成了post，然后也是对一些符号进行了html实体编码。对于这种输出直接进行html实体编码的，老实说，我也没想出什么好方法，大神教我。。。

对于这题，也是尝试了好久，各种方法都是不行，都没有成功。本人也是小白，没有什么好的方法，只能-----------看源码，

其他没有什么特殊的，唯有这个$_SERVER['PHP_SELF']，看到这种超级全局变量，就感觉用的有点蹊跷，果断百度一下，终于发现了漏洞所在。

$_SERVER["PHP_SELF"]的值是当前php文件相对于网站根目录的位置地址，也就是说，是返回当前正在执行脚本的文件名。但是呢，这个$_SERVER["PHP_SELF"]的值是可以通过url上的值控制的，比如说/xss/example8.php,在url上改成/xss/example8.php233

那么$_SERVER["PHP_SELF"]的值就是/xss/example8.php233，（当然不能直接php233，这样就请求不到文件了，/ 如果不是伪静态的话，一般是指目录，由于已经请求到具体的php文件了，后面就不会管了）