web安全入门到入狱-Pyhackme靶场

各位看官老爷们，不知不觉距离上一篇文章又过了将近一个月了，我感觉再不发点文章，粉丝都要离我而去了。

今天给大家介绍一下我自己写的一个基于Flask框架开发的漏洞靶场，这对web安全入门非常有帮助。为什么这么说呢？原因有二

1. **代码易读性：**Flask是基于python语言的，我相信大家能很容易读懂代码逻辑。而web漏洞原理大多数情况下是不受编程语言限制的，即python web、Go web、Java web都会存在这些web漏洞。当然每种编程语言也有自己特定的漏洞，比如SSTI漏洞仅限于Python，而很多反序列化漏洞是Java的专属，这些只有在特定编程语言里触发的漏洞我并没有将其归类到web漏洞中。如果让一个不懂web安全的人直接上来阅读Java代码可能会直接让人失去学习动力，而简单易懂的python代码可以很好的帮助初学者从代码层面理解漏洞本质。

2. **针对漏洞设计了真实业务场景：**该项目几乎涵盖了owsap top 10大部分漏洞，而且针对漏洞设计了真实的业务场景。比如圈内很有名的基于PHP的DVWA，基于Java的webgoat都没有针对漏洞设计业务场景，去打wegoat靶场的时候会感觉很枯燥。

本篇文章内容包括：靶场介绍和靶场部署。而针对于不同漏洞的讲解，我会在后续的文章中持续更新。

一、Pyhackme漏洞清单

1. 身份认证类漏洞（该类漏洞在2021版owasp top 10中排名第7）

1. 用户注册：用户注册提示用户已存在，可进行用户枚举（手机号和邮箱作为用户唯一键值）
2. 用户登陆
   2.1 业务系统对登陆失败做了不合理的安全设计，导致账号拒绝服务攻击
   2.2 业务系统使用了慢散列函数，导致可以通过观察响应时长来枚举用户
   2.3 慢散列函数，导致可以通过观察响应时长（SQL注入（盲注））
3. 用户找回密码：找回密码处host注入，导致账号接管
4. 管理员登陆：管理员后台由于没有做登陆失败验证，在2.2的基础上枚举出管理员账户，然后密码暴力破解

2. SSRF漏洞（该类漏洞在2021版owasp top 10中排名第10）

1. 后台批量导入商品：商品的excel文件先传到存储对象，然后服务端发起请求获取该文件进行导入。请求的URL可控，导致SSRF漏洞。

3. CSRF漏洞 （该类漏洞在2013版owasp top 10中排名第8，从2017版开始已不再top 10清单中）

1. 支付功能：利用他人账号的余额帮自己支付
2. 后台添加账户：添加后台管理员账号

4. SQL注入漏洞(该类漏洞在2021版owasp top10排名第3，2017版之前排名第1)

1. 用户登陆：布尔盲注
2. 订单详情：联合查询注入

5. 条件竞争漏洞（该类漏洞并没有明确在的owasp top10中出现，这是一种较隐蔽的漏洞，但我个人将它归入2021版的“不安全设计”中）

1. 储值卡充值：一张储值卡可以充值多次

 6. 数据越权漏洞（该类漏洞在2021版owasp top10排名第一，叫做访问控制缺失，也是近几年被利用最多的漏洞，导致的问题是敏感数据泄露（破坏了数据保密性），或者是未授权对数据进行篡改（破坏了数据完整性））

1. 复购：越权重复购买，消耗他人账户余额
2. 收货人管理
   2.1 越权修改收货人信息
   2.2 越权查看收货人信息
3. 查看订单：越权查看他人订单信息
4. 越权退款：越权退款，导致买家和卖家纠纷，以及其他恶劣影响

关于数据越权自动化检测可以参考我之前的一篇文章：

数据水平越权检测工具设计

信息安全笔记，公众号：信息安全笔记数据水平越权检测工具设计

二、部署

部署很简单，相信大家都用过docker。从github下载靶场代码，修改配置文件后直接docker-compose up -d即可部署。如果没有用过docker，可以出门左转问baidu，chatgpt

项目地址：https://github.com/f4cknet/pyhackme

下载完之后修改配置文件docker-compose.yaml

version: '3'
services:
  web:
    build:
      context: .
      dockerfile: Dockerfile
    ports:
      - "5000:5000"
    volumes:
      - C:/Users/zmzsg/Desktop/web靶场开发/pyhackme:/work
    depends_on:
      - db
      - redis
    environment:
      MYSQL_HOST: db
      MYSQL_USER: root
      MYSQL_PASSWORD: Pyhackme1024
      MYSQL_DATABASE: hackme
      REDIS_HOST: redis
      ossak:
osssk:
MAIL_SERVER: smtp.163.com
      MAIL_PORT: 465
      MAIL_USE_SSL: True
      MAIL_USERNAME:
MAIL_PASSWORD:
MAIL_DEFAULT_SENDER:
 
  db:
    image: mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: Pyhackme1024
      MYSQL_DATABASE: hackme
    ports:
      - "3306:3306"
  redis:
    image: redis:latest
    ports:
      - "6379:6379"

项目由3个容器组成，web容器、mysql容器、redis容器。

别的地方可以不用改，比如MYSQL的密码，数据库名称等。仅仅需要修改以下信息：

volumes:
     - C:/Users/zmzsg/Desktop/web靶场开发/pyhackme:/work
  这里C:/Users/zmzsg/Desktop/web靶场开发/pyhackme改成你自己的项目目录
  比如D:/hackstudy/pyhackme

还有一些环境变量需要修改

environment:
      MYSQL_HOST: db
      MYSQL_USER: root
      MYSQL_PASSWORD: Pyhackme1024
      MYSQL_DATABASE: hackme
      REDIS_HOST: redis
      ossak:  自己申请一个阿里云ak和sk
      osssk:
       MAIL_SERVER: smtp.163.com 要用什么邮箱服务器自己决定，用163则不用改
        MAIL_PORT: 465
      MAIL_USE_SSL: True
      MAIL_USERNAME: 邮箱账号
      MAIL_PASSWORD: SMTP临时授权码（不是邮箱密码）
      MAIL_DEFAULT_SENDER: 邮箱账号

最主要就是oss所需的ak和sk，因为ssrf要用到。还有邮箱服务器设置，用户找回密码要用到。

完成配置后，执行docker-compose up -d即可

当然，我并没有一些初始化的业务数据，所以你部署完成之后，首页没有任何商品数据。你可以自己手动导入业务数据，步骤如下：

1.访问/admin/register,注册一个管理员账号
2.访问/admin/login，进行管理员身份认证
3.访问/admin/batch_goods ，导入项目目录中的importgoods.csv

之后，你可以看到首页变成这样了

后面我会针对pyhackme各个漏洞写wrirteup，这些内容适合新手或者不懂代码的脚本小子。如果该内容正适合你，不要忘记关注我公众号，同时在gitub中点下star。今天的内容就先分享到这里，感谢各位看官老爷的阅读。