记一次看雪靶场的做题记录,并附带笔者思路。本题设计cookie和本地绕过。
题目
启动靶机
解说:
根据这个页面显示,再结合经验来猜测,大一点的靶机应该会有其他页面,比如登录什么的,登录管理员页面再进行其他的操作;小一点的就没有了,可能会是其他情况。【这个是笔者的第一个思考】
下来接着寻找其他信息。【多种信息结合才可以得出正确的结论哦】
1.查看信息
F12 查看信息,发现 cookite不对劲。这个应该有用,先记着。
解说:
F12查看信息是笔者现在这个阶段必须的。因为现在大多是靶机,靶场之类的。很多出题人,会在网页源码,网络信息,请求数据包等地方放置一些解题的线索。
果然,我们发现了这个cookie中存在一个奇怪的东西(user : guest)。根据我们的经验判断,正常的网站cookie不会是这个东西,所有它必然存在问题。这个先放着,我们再去找找其他线索。【这个是笔者的第二个思考】
网页源码也没有找到有用的信息。
2.目录扫描
进行目录扫描,没有找到任何路径。
解说:
因为我们第一眼就判断,这个靶机可能存在其他页面,所有目录扫描是必要的。这个可以扫描出大多数的,较为常见的路径。
这里没有扫描出来,说明要不不存在其他路径,即其他页面;要不就是路径不常见,比较复杂,没有扫描出来。这里第一种的可能性大一些(因为这个是签到题,不会太难。由判断难度得出)【这个是笔者的第三个思考】
3.抓包
手动抓包尝试拼接,因为指纹识别网页是 php 写的,所有尝试常见的php路径。但是都是 400 响应。
解说:
这一步其实没有做的必要,因为上面目录扫描已经做过了。这个是重复操作了。
这里为什么做呢?一个是笔者解题的时候没有想透这个问题,后面写文章是才想到;另一个是没有想到其他思路,还不死心想尝试一下。(试试由不损失什么嘛。不过在比赛中,还是不建议大家这样做)
看了请求数据包和响应数据包,开始盲目尝试,没有用。还是没有意识没有经验啊。
吐槽:感觉自己好菜啊,完全没有思路。这里已经开始撞运气了。(为什么呢?因为不知道下来该干什么了)
所以笔者准备写这个,也是解完题目后整理一下思路,顺便做个笔记。嘿嘿
看页面的话语,应该是要越权,但是我不会啊。【越权应该是没有这个权限,但是我偏偏可以去进行了不属于当前用户的这个操作。】【专业的大家自行去搜索啊,笔者这里只是简单谢写写】
看看老师傅的WP
对不起了,我看看看 WP,先搞到登录页面什么的,进行到下一步啊
解说:
不会了,不知道了怎么办呢?当然是不耻下问,或者向前辈们讨教啦。
瞄了一眼“orzw”师傅的 WP 文章,抓包是对的。要改用户为 admin。我的猪脑子啊,真笨哎。
解说:
看到这个,我都有点不好意思了。这么简单的我竟然没有想到。页面都说是越权了,管理员了,请求包里面还有 user=xxx ,我竟然没想到。也怪我没有细看数据。吃一堑长一智昂。
4.再次抓包
抓包修改user为admin,进行重放,观察响应包。
又懵逼了,为什么还是这个,改了这么没反应啊。
5.本地绕过
在瞄一眼“Delevy”师傅的 WP,竟然还有绕过本地的事。再改,添加 Client-Ip:127.0.0.1
常见的修改本地地址的方式为:
Client-Ip: 127.0.0.1 //有用
X-Forwarded-For: 127.0.0.1 //无用
Host: 127.0.0.1 //响应 400
Referer: 127.0.0.1 //无用
解说:
这个绕过本地,我是真不知道,也不会啊。也没有说过还有这事啊。参照老师傅的WP,笔者将4个都试了一遍。结果在后面写着。
为什么要绕到本地呢???笔者不解,非常不解。
经过一坤分的寻找,笔者终于找到了。
来自mb_mgodlfyn师傅的WP解释:
页面提示的两个关键点:“本地” “管理员”
“本地”:用 'Client-IP: 127.0.0.1' http头 绕过
“管理员”:服务器响应有'Set-Cookie: user=guest',所以本地传一个 'Cookie: user=admin'
解说:
答案竟然还在页面上,果然没有一句废话啊。笔者膜拜中。。。还得练啊。
6.成功
笔者推荐:Spider_008 师傅的 WP :https://bbs.kanxue.com/thread-278675.htm
这个是另一种思路,欢迎大家观看
文章末尾,再次鸣谢各位老师傅们的WP解说。笔者会和大家一起努力的。
