“美亚柏科杯”数据安全比赛-赛前培训题目WP
- Field Training
- 不安全的直接对象引用
点击按钮发包,修改guest为admin即可:
Key:
YaXipPfic9454pygbdiGQxj9epzQd3bGypZKOv9/ZC1vMnxe051mMlHVuyUhgehpToc+qodPsmDTSheSdewRhEaK7y0NBJj+DGcbndza6HQ=
- 失效的数据认证
抓包前端验证绕过:
Key:
inOEoaHqA0DlemN4j8A1KmsoaLx3U8ZNf6MFhxROGEbMNmxFnMrD26EGCRHmfGuTaVLXS+t8UtR9jakrLgMmYqKlHOn0rAIopYp0zyh99FAhbf+1Xrr9hHSNiLz+Adfh8nunCQQPHhpyVGDU0Lj442ZhqOsMAJg6BrcAUmAvyc4=
-
- 安全性设定缺失
弱口令admin/password
Key:
MkCGUpZYvsRIGbXNA6p7CZXDed5qSd7i6xuHfICe3QqaweyRSshczPEo/iiaBUoGSh/jK7UZMBvPRLq8yJ2nf909YQagBbisYgcM7iaB5yTjYhajHg0dVmIEcdUjnngluN+EsQpfnJQRdQe2VNWQRoALY3MydtPCOtBCll4bXDs=
-
- 失效的会话管理
点击按钮后抓包发现关键校验位置。
修改获得key:
Key:
zQOzfPiLwtgBUVeYl3LSHU3+MVb1MuVoXZ2JrmSgg5+p/bybQvGm0kgMQFNt4U96GpnylkmhLAk6FtYG0zcqWOs9df+fj4x0KOhZNw1snNA=
-
- 没有限制URL访问
访问连接即可
Key:
j33zdZi8TGWD//NPfkvghMIyvh8kZ1dFK+Tyf1/u84KK6nPEzCyFkHCcg9okPCkdt+iBVVDc4phyzsXOWMYc5m1/lxMMQelR6XX8tfRgiX0=
-
- 跨站脚本 (XSS)
Key:
pdQr61OcgMMY8DNqHpTYRlfCSDsMOpABH3hJEcPkERERTpX9M3+andPAVlFmsimfQArkd+ocrN3/CazQt9J1IPL6LDG/s9qNjMD2jre5Cj8=
-
- 跨站脚本 (XSS) 1
Key:
ANcy+m/CjnGzvfU0sfxNL94IKk9kIM3EGOv5L1QrIwg3UYZoLUtamhrai8VGLLXhIEE6W96lAYDb/X63ECC9c3+7aIRh0ydJfqey50Rvfa4=
- Private
- 不安全的加密存储
Base64 decode
Key:
base64isNotEncryptionBase64isEncodingBase64HidesNothingFromYou
-
- SQL 注入
Key:
3c17f6bf34080979e0cebda5672e989c07ceec9fa4ee7b7c17c9e3ce26bc63e0
-
- 不安全的加密存储 1
凯撒密码 key=5
Key:
mylovelyhorserunningthroughthefieldwhereareyougoingwithyourbiga
-
- 不安全的直接对象引用 1
抓包测试请求id,当id=11时候,获取到key
-
- 失效的数据认证 1
题目思路是选择商品,会给出商品订单,包含了订单金额,通过输入大量商品数量导致订单金额溢出为负数,经过测试获得key如下:
-
- SQL 注入 1
把第一关的单引号换成了双引号,payload:" or ""="
Key:
fd8e9a29dab791197115b58061b215594211e72c1680f1eacc50b0394133a09f
-
- 会话管理 1
题目显示只有administrator可以点击。
抓包后发现cookie中存在checksum,base64 decode后是:userRole=user,将user改为administrator base64 encode即可。
-
- 没有限制URL访问 1
根据提示查看题目源代码(F12),发现两个数据请求接口,
正常请求是上面一个接口,我们按照下面接口发包即可获得key
-
- 跨站请求伪造 (CSRF) ☆
- Corporal
- 未验证的重定向和转发☆
- SQL 注入 2
在线查到payload:
"[email protected]' OR '1' = '1';#"@gmail.com
原始sql语句:SELECT * FROM customers WHERE customerAddress ='"[email protected]' OR '1' = '1';#"@gmail.com';
邮箱名部分需要双引号包裹,否则会报错
-
- NoSQL 注入 1☆
MongoDB 2.4 之后 db 属性访问不到了,但我们应然可以构造万能密码。如果此时我们发送以下这几种数据:
username=1&password=1';return true//
或
username=1&password=1';return true;var a='1
- Sergeant
- 会话管理 2
提示只有admin可以访问。
使用admin账号任意密码登录,返回提示邮箱地址,再使用邮箱重置密码登录即可
Key:
WvJR70JJ5UWEMaLbhGWw4jl+I43dBnh0R3xXF5TnMthLrwzSaV1g3fgi5jHLPSS8OAfBOUA+xTabvxnF3O2R2WQgC+uJ1H2GTNgAC2Sx5rQ=
-
- 跨站请求伪造 (CSRF) 1☆
To complete this challenge, you must get your CSRF counter above 0. Once The request to increment your counter is as follows;
GET /user/csrfchallengeone/plusplus?userid=exampleId
Where exampleId is the ID of the user who's CSRF counter is been incremented. Your ID is 7af42156e8f0cc58f3570cf92509ac89c28b5825. Any user than you may increment your counter for this challenge, except you. Exploit the CSRF vulnerability in the request described above against other users to complete this challenge. Once you have successfully CSRF'd another ZAGF Security user, the solution key will appear just below this message.
You can use the CSRF forum below to post a message with an image.
-
- 不安全的加密存储 2
点击按钮发现没有发送数据包到服务器,在源代码中获取到了验证js:
猜测是维吉尼亚加密,使用工具验证。
Key:
TheVigenereCipherIsAmethodOfEncryptingAlphabeticTextByUsingPoly
-
- 不安全的直接对象引用 2
The result key for this challenge is stored in the private message for a user that is not listed below...
解答:点击按钮抓包,发现发送了userId[],看上去是md5,使用hashcat破解发现是数字7的md5:
根据提示使用bp采用数字暴力猜测userId,猜到13即获得key。
- Major
- 会话管理 4
发现cookie中SubSessionID是base64编码两次的编号,暴力破解即可,最后在21。
-
- 跨站脚本 (XSS)4
通过fuzz暴力猜测得到payload:
http://>"'>
-
- 失效的数据认证 2
和之前的题目差不多,没发现具体的区别在哪里,通过在不同商品添加测试数据,最后发现溢出为负数。
-
- 没有限制URL访问 2
题目源代码中发现混淆js,复制到console解密
在控制台将eval替换为console.log,得到源代码
在线格式化看看,发现关键请求代码
按照代码发包即可
