labs

在从事数据分析/处理过程中，Jupyter Lab 是一个常见且便捷的工具，它属于 Jupyter Notebook 的升级版本。 除了可以在本机搭建 Jupyter 环境，它还支持通过网络远程访问，从而实现在本地编写查看代码，在远程服务器上运行代码的功能。 ## 需求背景 我日常使用的是一台 M1 ......

第15题 发现不管输入什么都不报错 应该是没有回显的，所以考虑时间盲注： 先判断闭合方式： 建议拿' 、" 、') 、") 、) 、)) 、一个一个试： 时间盲注应该这样试： uname=11&passwd=1' or sleep(4)-- -&submit=Submit 这里注意，刚开始试了很多次 ......

第11题 打开是这种页面 随便输入一个账号密码，查看传参为post方式 这个题有点奇怪，hackbar不能点运行，点了会说form.submit is not a function ：不知道大家有没有遇到这种情况 我们查看源码： 应该是name="submit"冲突了 使用burp suite抓包： ......

LESS-11 POST提交注入 一般的登录情况都是采用的post提交数据、通过抓包获取到登录信息 枚举数据库字段 查出回显字段 ......

LESS—5 查看源代码得到 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 采用的是 ' ' 闭合，若直接使用/?id=1 and 1=1，则在sql语句中是 $sql="SELECT * FROM users WHERE id='id=1 ......

CS 339 Lab 4: SimpleDB TransactionsAssigned: Tuesday, May 23, 2023 Due: Monday, June 5, 2023 11:59PM CentralIn this lab, you will implement a simple l ......

第五关 没有查询信息，盲注，妥妥的 ?id=1'报错 ?id=1'-- -不报错：闭合方式为' 接下来就是一个字母一个字母试了 首先判断库名的长度:?id=1' and length(database())=8-- -正确输出，长度为8 接下来爆出库名为security 爆出库名爆表名：?id=1' ......

INFINI Labs 产品更新啦~，本次产品版本更新包括 Gateway v1.14.0、Console v1.2.0、Easysearch v1.1.1 等，其中 Console 在上一版基础上做了很多优化改进以及新增了一些特性，如新增数据比对校验功能、数据看板模块新增了表格组件、图表组件支持下 ......

哦~原来这几关都是判断闭合方式的， 判断方式：1.?id=1'和?id=1"测试：谁报错跟谁相关 两个都报错：大概率为无闭合 单引号报错双引号不报错：肯定跟单引号有关闭合 测试?id=1'-- -不报错为单引号闭合，报错如果?id=1')-- -不报错为')闭合 双引号报错单引号不报错同理。 2.用 ......

大佬走开，菜鸟的笔记记录 打开是这样： f12查看时get请求传参，传入id，存在union注入，直接爆库名 爆表名 爆字段名： 最后爆出用户名密码： http://localhost/sqli-labs-php7-master/Less-1?id=' union select 1,group_co ......

LESS-4 第四关果然不出我所料，是id=("$id")类型的，而且发现输入两次双单引号和一次双引号效果是不一样的，虽然形式看着一样.... 老规矩，先 id=1 id=2 id=1' and 1=1/2。。。 一顿输出都是回显正常，但查询栏目数又不正常，然后又开始乱猜。。。 在输入1"（"是双引 ......

LESS-3 这关有点不同，是因为它在单引号的基础上加了一个括号 还是老规矩，判断类型，当输入id=1和id=2都正常回显，查询栏目数目也是正常的，但爆显示位的时候就无回显 判断存在干扰，输入id=1'康康 注意到这里的单引号，还多了个括号，所以猜测sql语句应该是id=('$id') 那就输入 / ......

LESS-2 和第一关步骤一样，先判断 输入 /?id=1 /?id=2 /?id=1' 输入1,2正常回显但加个单引号报错，说明是数字型，先用order by 判断栏目数量（这里省略），然后再爆显示位 /?id=1 order by xxx /?id=-1 union select 1,2,3 开 ......

LESS—1 第一步：判断是否存在注入点 输入 /?id=1 /?id=2 有数据返回且不同，存在注入 第二步：判断语句是否拼接，且是字符型还是数字型 输入 /id=1 and 1=2 /?id=1' 出现报错，判断是字符型，说明是单引号，闭合则可以用 --+ 来注释掉后面的 ’ 输入 /?id=1 ......

# XSS-labs ## level 1 先查看一下源代码  由此可见并没有任何的过滤措施，直 ......

## level 11 从前端源代码看依然存在隐藏表单 **** 还是先去看源代码 ![imag ......

## level21 先admin:admin登录  由此可见cookie被加密了 可以尝试在每 ......

第三关字符型注入测试 判断字段数 ?id=1') and 1=1 order by 1 --+ ![image-20230318214415765](C:\Users\30310\AppData\Roaming\Typora\typora-user-images\image-202303182144 ......

第十一关现在为post类型 抓包后发到repeater模块  抓包后找注入点 ......

没有对上传用户名的文件做判断，只对用户输入的文件名做判断 后缀名黑名单 上传文件名用户可控 黑名单用于用户输入文件后缀名进行判断move_uploaded_file() 特性 会忽略文件末尾/.1 建立新文档 输入 <?php phpinfo();?> 命名成PHP文件 有两种模式 一种 末尾加ph ......

这关是尝试在文件后面加点 因为被禁用了很多文件名 但是没有禁用后面加点这一项 那我们就可以进行尝试在文件后面加点经过尝试直接在文件后面加点会被自动删除掉 所以要抓包进行修改上传图片进行抓包查看完成 ......

因为是白盒测试 可以看到前端代码 所以我们知道没有禁用掉字符::$DATA 如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名上传文件进行抓包 修改后缀查看完成 ......

经过查看源码 很多文件格式都被禁掉了提示所以我们要尝试是否是循环验证 循环验证就是没有进行二次验证或者多次验证 只验证了一次 但是加两个点或者加多个空格 这样就只会检测到一次 就只会删除一个 剩下的就可以上传进去上传文件进行抓包 查看完成 ......

上传文件修改后缀文件名 将php修改成pphphp这样就会从前面向后检测 检测到php就会把php 删除掉 这时候没有循环检测或者多次检测 剩下的就还是php 就会上传成功源码提示上传文件 抓包查看完成 ......

%00是url编码，使用GET请求是在url地址中添加，服务器会自动解码，而在post中添加服务器不会将%00解码成空字符此漏洞适用于5.3以下版本发现可以上传文件格式抓包添加php%00抓包完成 ......

上传文件进行抓包上传成功完成 ......

打开靶场发现phpStudy 使用5.3以上版本只允许使用这三种文件格式1 制作图片马 创建一个文件夹里面 准备一张 jpg图片和准备一个一句话木马的php文件 使用notepad++打开图片最后一行添加<?php phpinfo();?>2 打开cmd 使用命令制作图片马输入命令copy 图片位置 ......

以上步骤和14关一样1 制作图片马 创建一个文件夹里面 准备一张 jpg图片和准备一个一句话木马的php文件 使用notepad++打开图片最后一行添加<?php phpinfo();?>2 打开cmd 使用命令制作图片马输入命令copy 图片位置 /b + 木马php位置 /a 编写的文件名称 . ......

查看源码注意到这样查看你的phpstudy 文件配置或者PHP扩展及设置 配置文件里代码太多不好找 去PHP扩展更改也可以配置改完 重新启动就i可以16关和 15 14关步骤一样 ......

十八关是一个先上传后验证配合逻辑漏洞产生的条件竞争方法 上传php文件进行抓包 抓包发送到攻击模块 因为攻击时会检测到php文件并会删除所以攻击同时再打开另一个浏览器去访问那个文件路径 这样访问成功就不会被删除进行攻击清除选中点击开始 工具会一直上传 但是网站的服务器一直删除，我们在另一个浏览器打开 ......