OWASP webgoat 漏洞平台
一、环境安装
https://code.google.com/archive/p/webgoat/downloads(需要科学上网)
下载war包可以直接部署:
https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/webgoat/WebGoat-5.4.war
如果没有tomcat的环境:
可以下载:https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/webgoat/WebGoat-5.4-OWASP_Standard_Win32.zip
封装好的tomcat和相关的java的环境。
直接启动:webgoat_8080.bat
http://localhost:8080/WebGoat/attack guest/guest登陆
如果是下载的war包直接的tomcat的配置和查看用户。
二、实战操作
新的平台结合前面的学习的知识实践一下:
Numeric SQL Injection
主要是获取天气的相关值:
接下来进行抓包分析:(fiddler抓包工具)
提交的参数
station=103&SUBMIT=Go%21
参数前台展示的数据
SELECT * FROM weather_data WHERE station = 101 and 1=1
SELECT * FROM weather_data WHERE station = 101 and 1=2
经过 and 1=1和 and 1=2判断存在数字型的事情了注入。
poc:or 1=1–
查询语句:SELECT * FROM weather_data WHERE station = 101 or 1=1–
防护:参考前面的sql(Jsp挖掘(2)-sql注入及防护)注入相关防护方法
https://mp.weixin.qq.com/s/cI6Wvy8BTzf768zAaIl98A
三、总结
主要是需要了解一个新的抓包工具fiddler。
下载:https://www.telerik.com/fiddler
相关学习博客:
https://www.cnblogs.com/yyhh/p/5140852.html
公众号:
thelostworld:
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400