文章总结: 文档详细讲解HTBWeb-Attacks技能评估通关流程。首先通过IDOR漏洞枚举发现管理员账号,随后利用HTTP动词篡改技术成功重置管理员密码,登录后在后台利用XXE漏洞读取本地文件并解码获取flag。文章展示了完整的漏洞利用链路,对Web渗透测试实践具有较高参考价值。 综合评分: 92 文章分类: WEB安全,渗透测试,实战经验
HTB Web‑Attacks 技能评估
haidragon haidragon
安全狗的自我修养
2026年1月28日 07:50 湖南
官网:http://securitytech.cc
HTB Web‑Attacks 技能评估通关讲解
在本次 walkthrough 中,我们将覆盖 Web Attacks 模块中的几个主题,包括:
- HTTP Verb Tampering
- IDOR
- XXE
如果你不想被剧透、想自己完成,这里就是你该离开的地方 😄。 只有在你卡住时,才把它当作参考。
此外,也会给出一些完成技能评估的小技巧。
开始前准备
在开始评估前,建议先打开 Burp Suite,让它监听目标 IP 的流量。
初始入口
按回车或点击查看完整图片
系统给了我们目标地址和登录凭据:
htb-student :Academy_student!
这是登录页面。
登录后,会跳转到 /profile.php。
查看 Burp 捕获的数据,可以看到页面中记录了一个和 Paolo(我)关联的 ID。
这是 Burp 捕获到的 /profile.php GET 请求。
发现 IDOR
这个 ID 很可能存在 IDOR 漏洞,于是我们尝试把 URL 和 Cookie 中的 ID 改成 67。
结果返回了另一个用户,说明 IDOR 成立。
枚举用户
接下来我们要利用这个漏洞进行升级,通过脚本或者 Burp Intruder 枚举所有用户,寻找管理员账号。
在 Burp Intruder 中,对 URL 和 Cookie 中的 ID 都添加 payload,我设置从 0‑100 循环。
在 ID=52 处发现管理员用户:
a.corrales
但仅凭用户名还无法升级,我们需要继续寻找漏洞来接管管理员。
密码重置点
网站中有一个 Settings 页面,包含密码重置功能,这是一个很好的攻击面。
开启 Burp 拦截,输入新密码,比如:
Pawned
在转发前,把 URL 和 Cookie 中的 ID 改为管理员的 52,然后继续转发,来到 /reset.php。
虽然 ID 会被还原,但直接改 ID 是无效的。
HTTP Verb Tampering
真正的漏洞点在于:
把请求方法从 POST 改成 GET。
转发后会提示:
Password changed successfully
登录管理员
现在尝试登录:
a.corrales : pawned
成功进入管理员账号。
XXE 点
管理员页面中多了 Add Event 功能。
测试添加事件并抓包:
可以看到 POST 数据是 XML 格式,而且没有 version 和 encoding。
于是加入标准头:
测试 XXE
加入 DTD:
并在:
<name>&xxe;</name>
引用实体。
这样会在响应中返回 /etc/passwd。
读取 flag
直接读 /flag.php 不成功,于是使用 PHP base64 包装:
最后成功返回 base64:
作者不直接给 flag,让你自己解码 。
总结涉及漏洞链
IDOR → 枚举用户
HTTP Verb Tampering → 重置管理员密码
XXE → 任意文件读取 → flag
- 公众号:安全狗的自我修养
- vx:2207344074
- http://gitee.com/haidragon
- http://github.com/haidragon
- bilibili:haidragonx
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全狗的自我修养 haidragon haidragon《HTB Web‑Attacks 技能评估》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论