当前位置:网站首页>CTF-合天WEB漏洞靶场

CTF-合天WEB漏洞靶场

2022-07-21 00:34:00 amingMM

WEB漏洞靶场

实验环境

https://www.hetianlab.com/expc.do?ce=34dc93e4-58dc-4d37-9ce5-3d7043a6e974

在这里插入图片描述

服务器:

Centos7
(nginx+php+php-fpm+mysql)
IP地址:10.1.1.100

客户机:

Windows7
(辅助工具:Mozilla Firefox,burpsuite)
IP地址:随机
在这里插入图片描述

在这里插入图片描述

测试内容


http头部字段理解

A、观察http响应头

B、Referer理解

C、X-Forwarded-For理解

D、Client-IP理解

E、User-Agent理解

F、Accept-Language理解

G、Cookie理解
sql注入

A、http头部注入1

B、http头部注入2

C、宽字节注入

D、cookie注入
文件上传漏洞理解

A、后缀黑名单

B、后缀白名单

C、检查MIMETYPE(Content-Type 限制)与文件大小限制

D、检查头文件

E、一三四综合

F、文件上传之另类反弹shell
文件包含漏洞理解

A、文件包含练习题一

B、文件包含练习题二
SSRF漏洞理解

A、有回显SSRF漏洞

B、无回显SSRF漏洞

C、练习题一
XXE漏洞理解

A、有回显XXE漏洞

B、无回显XXE漏洞

打开burp 开启代理

在这里插入图片描述
IE 局域网代理
或者
firefox
在这里插入图片描述

观察http响应头

在这里插入图片描述

在这里插入图片描述

Referer理解

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

X-Forwarded-For理解

X-Forwarded-For(XFF)
是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
在这里插入图片描述
在这里插入图片描述

Client-IP理解

原网站

版权声明
本文为[amingMM]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_33608000/article/details/125885471

边栏推荐

猜你喜欢

随机推荐