natas(28-34)(终章)

最新推荐文章于 2021-08-11 10:55:00 发布
原创 最新推荐文章于 2021-08-11 10:55:00 发布 · 772 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了natas系列挑战中28至34关的解决过程,涉及ECB加密模式的攻击、SQL注入等技术。作者通过分析源码和尝试不同payload,揭示了如何利用ECB加密的特性构造SQL注入,以及在后续关卡中利用Perl语言的特性进行命令注入和文件上传漏洞的利用,最终成功过关。

natas28
这题是真的难,密码不懂的我真的有点懵逼,好在Q童鞋不嫌我问题弱智,很耐心的替我解答,在此祝TA恭喜发财!

这题打开之后什么都没有,源码也看不到了,只有一个搜索框,而搜索的是笑话库,根据提交的字符串,随机返回含有字符串的笑话。
POST提交明文,返回一个GET的url,值是明文与sql语句组合后被加密的内容,随便提交几个值,会发现解码(url和base64)后的长度相同,然后不知道怎么进行下去了。查看外网的wp,看了很久才理解了一些。
https://blog.anshumanonline.com/natas29/
http://s0hungry.com/2017/08/27/over-the-wire-natas28-security-puzzle/
http://alkalinesecurity.com/blog/ctf-writeups/natas-28-getting-it-wrong/

视频:
https://www.youtube.com/watch?v=qpC2sNcRj5o

这是一个ECB加密的攻击

ECB(Electronic Codebook,电码本)模式是分组密码的一种最基本的工作模式。在该模式下,待处理信息被分为大小合适的分组,然后分别对每一分组独立进行加密或解密处理。
由于所有分组的加密方式一致,明文中的重复内容会在密文中有所体现,因此难以抵抗统计分析攻击。

对于这种加密可以利用其分组的特性来针对组来攻击。
首先我们要知道它的分组大小,一般AES是要求16个字节为一块的,而ECB属于AES加密。我们可以对其进行验证,构造‘A’64的提交数据,对返回值解密后找到重复的部分(’\xf63\xe6\xb0_\x86b&\xb8c\x81q\x12\xb1\xc9+\xf63\xe6\xb0_\x86b&\xb8c\x81q\x12\xb1\xc9+\xf63\xe6\xb0_\x86b&\xb8c\x81q\x12\xb1\xc9+’),长度为48,重复部分为163。由此可知加密是以16个字符为一组的。

后台构造的sql语句大概类似于SELECT * FROM TABLE where content like “$_REQUEST”,我们需要绕过引号来构造sql注入。

因为POST提交的数据是在引号内的,所以是做不了文章的。所以只能考虑GET部分,它的内容是POST返回回来的完整sql语句,这就意味着存在修改的可能性。

我们希望将其修改成SELECT * FROM TABLE where content like “$_REQUEST” Union SELECT password FROM USERS #

sql是明文的话,就直接修改即可。虽然被加密了,但ECB有个特性就是各组之间独立无关的,这就需要插入的内容必须为完成的若干组,同时需要把前后不足一组的地方给补齐了。

所以我们思路为:使【SELECT * FROM TABLE where content like “$_REQUEST”】为独立整组,然后得到【Union SELECT * FROM USERS #】被ECB加密后的内容,插入其中即可。

现在需要找出前半部分缺少多少个字符为一整组,胖友给我解释的是:多次输入可以看到解码后的值,前42个字符是相同的,由于块长是16,42=10+16*2,所以前面缺少的字符是10。但本人比较愚笨,不是很能理解这种方式。

于是找到了另一种其他博主提供的方式:
之前构造’a’ * 64已经知道了’a’ * 16被ECB加密的内容STR(b64解密后的)
  如果放入’a’ * (16 + b)时(b64解密后的)query中恰好出现了STR,那么就可以证明前半部分缺b个字符
  因为此时b个’a’正好填补了之前的组,使得恰好有’a’ * 16被独立成组加密了。
  b的取值范围为0-15,爆破可知得10

而且前半部分为3组48个字符。

这样就可以构造‘a’*(10-sql语句后部)就可以满足所需为整组了。这里的sql语句后部为两个字符(%’),它实际执行的是类似于“… WHERE joke_body LIKE’%{escaped_query}%’…”

提交后记下base64解码后的query。

下一步就是将我们的payload加密后的内容和前面进行拼接了。

我们添加的内容也需要是整组的,因此我们需要对payload进行添加字符(其实并没有影响,payload后面有注释符),提交’a’*10 +payload +offset
然后截取返回值base64解码后的第48个字符起(前三组),长度len(payload+offset)的字符,把截取部分插入到之前query的第48个字符后,提交即可。

脚本是网上大大提供的:

import base64
import requests
from urllib.request import quote, unquote
import re

#from pwn import *

natas_url = "http://natas28.natas.labs.o
最低0.47元/天 解锁文章

新学期VIP享超值加赠
170822 WarGames-Natas(27-28
whklhhhh的博客
08-22 809
1625-5 王子昂 总结《2017年8月22日》 【连续第323天总结】 A. Natas B.Level 27按照之前sql注入的尿性,username应该是natas28,试一下回复Wrong password确认无误 本来以为是宽字节注入,绕过mysql_real_escape_string()函数 原理是该函数对单引号等字符自动进行转义,在前边添加’\’ 单引号字符为0x27
OverTheWire的natas游戏(21-34)
qq_40710190的博客
07-18 1022
natas solution(21-34) Natas Level 20 → Level 21 Username: natas21 URL: http://natas21.natas.labs.overthewire.org 这一关涉及到一个共享session的知识点,算是本关的收获吧。 进入页面后看到提示 Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org 在看
natas通关记录
weixin_42728957的博客
12-10 3428
OverTheWire 是一个 wargame 网站。其中 Natas 是一个适合学习Web安全基础的游戏,在Natas 中,我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站,类似 http://natasX.natas.labs.overthewire.org,其中X是每一关的编号。每一关都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在...
natas(level26-level34)通关()
tempulcc的博客
10-13 538
@[TOC](natas(level26-level34)通关详细指南() level26 URL:http://natas26.natas.labs.overthewire.org Username: natas26 Password: oGgWAJ7zcGT28vYazGo4rkhOPDhBu34T
natas27题解(
lyover的博客
12-08 1096
可以输入账号密码 先尝试用natas28登录,提示密码错误,也就是说,这个账号是写在数据库里的,并且密码就是我们想要的 // database gets cleared every 5 min 每五分钟重置数据库,如果一直提交natas28密码为空(或者随便,但是要写在post的参数里),恰好等到重置那个的时刻,库里就会有两个natas,在调用checkCredentials函数的时
Python库 | natas-1.0.2.tar.gz
03-06
《Python库natas-1.0.2:深入探索与应用》 在IT行业中,Python是一种广泛使用的开发语言,尤其在后端开发领域,它的简洁语法和强大的库支持使其成为首选。今天我们要深入探讨的是一款名为natas的Python库,其版本为...
Natas-Solutions:试图解决纳塔斯问题
03-31
Natas-Solutions-master这个压缩包很可能是包含了所有Natas挑战的解答和代码实现,对学习和复习这些知识点提供了宝贵的资源。通过深入研究和实践,你可以逐步建立起牢固的Web安全基础,并为应对更复杂的安全挑战做好...
web安全Wargame—Natas解题思路(1-26)
xiaoi123的博客
08-29 1229
前言:   Natas是一个教授服务器端Web安全基础知识的 wargame,通过在每一关寻找Web安全漏洞,来获取通往下一关的秘钥,适合新手入门Web安全。 传送门~ 接下来给大家分享一下,1-20题的WriteUp。Natas0: 提示密码就在本页,右键查看源码,注释中发现key Key:gtVrDuiDfck831PqWsLEZy5gyDz1clto 知识点:查看页面源码 Na...
OverTheWire-Natas
kang0x0的博客
08-11 1119
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、优快云 技术博客 3 篇
Natas 幽灵王病毒分析
ba_wang_mao的专栏
10-10 5163
9E80:0000 0E PUSH CS 9E80:0001 1F POP DS 9E80:0002 E89400 CALL 0099 ;保存 INT 13/15/21/40 9E80:0005 A27304 MOV [0473],AL ;AL = 0 9E80:0008 A21114 MOV [1411],AL 9E80:000B 8EC0 MOV ES,AX 9E80:000D 5F POP DI 9E80:000E 83EF03 SUB DI,+03 9E80:0011 50 PUSH .
natas(21-27)
半夜好饿的博客
08-19 507
natas21: 本关有两个页面,一个和之前的相同,显示“You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.”,另一个好像是一个修改CSS的页面,查看第一个页面的源码,会发现和前一关相似,都是需要_SESSION[“admin”]==1才可看到下一级的密码。 加上第...
natas(11-20)
半夜好饿的博客
08-18 1111
natas11: 同样查看源码,审计。想要得到密码,需要使showpassword设置为yes,loadData函数是将cookie的值解密还原,存储与mydata数组中,并返回mydata。而savaData函数则是将传入的参数进行编码处理,存在COOKIE[“data”]中。 由此大体思路为,构造新的输入参数,是的showpassword值设置为yes,编码后得到新的data值。但完成这步,需...
perl-Sys-CPU-0.61-14.el8.tar.gz
09-07
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
基于C和WPF开发的五子棋网络对战服务器系统-支持双客户端连接自动开始游戏随机决定先手落子顺序实现完整五子棋规则包括胜利判断和落子转发功能提供详细通信协议设计含帧头帧尾校验码及多.zip
09-07
基于C和WPF开发的五子棋网络对战服务器系统_支持双客户端连接自动开始游戏随机决定先手落子顺序实现完整五子棋规则包括胜利判断和落子转发功能提供详细通信协议设计含帧头帧尾校验码及多.zip竞赛、考证案例详解
commons-fileupload-1.5.jar中文-英文对照文档.zip
09-07
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
perl-Text-Diff-1.45-2.el8.tar.gz
09-07
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
bcutil-jdk15on-1.70.jar中文-英文对照文档.zip
最新发布
09-07
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
数据中心机房设计方案模板.doc
09-07
数据中心机房设计方案模板.doc
ug906-design-files.zip
09-07
ug906-design-files
aws-java-sdk-verifiedpermissions-1.12.780.jar中文-英文对照文档.zip
09-07
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值