厂商动态 > 正文

Inndy的Hack Game攻略(WEB篇)

2018-01-06 12:27:19来源:
原标题:Inndy的HackGame攻略(WEB篇)

先推荐一个很有意思适合初学者的CTF练习网站,网上关于这套题目的攻略很少,并且不全,那么就自己写一个攻略。

上面是题目的分数和每个题解出的人数,可以看到题目的难度情况。

网站没有登录认证,先给自己起个复杂点不会重名的名字,就可以累积分数,然后开始答题。

按照作者Inndy的要求,只提供解题思路,不贴flag。

DoNOTshareflag,it’sboring.

Let’sgo!

##WEB题###Task12hideandseek

WEB的10分送分题,已经提示了flag的格式是

flag{...}

查看源代码

搜索flag{,然后就可以找到flag

###Task13guestbook

标准的sql注入,并且提示sqlmap是你的好朋友

那么没有道理不让好朋友出场的

跑下来找到flag表,dump出flag

###Task14LFI

这道题考的是文件包含漏洞

提示的解题思路是使用php封装协议

题目里面还有一个登录页面,提示里面也关照了是干扰项,可以忽略

查看sourcecode发现有一个flag文件,使用php封装协议去读

php://filter/read=convert.base64-encode/resource=pages/flag

然后解md5,发现里面还require了一个config.php

Canyoureadtheflag?

再使用php封装协议去读取这个config文件,成功get到flag

###Task15homepage

这道题好坑,坑点太多,无力吐槽^~^

找了半天,最后找到一个cute.js,打开发现里面是乱码,改变编码,转成unicode,发现是一堆表情包,试了各种办法,最后发现是aaencode

aaencode-EncodeanyJavaprogramtoJapanesestyleemoticons

然后使用网上的工具给这段js代码decode,保存成一个js,然后使用一个页面调用这个js,使用console查看输出,发现生成了一个二维码,还要扫二维码,作为安全人员,第一反应安全吗?

###Task16ping

这道题的考点是命令注入,打开页面可以看到源代码

发现我们要使用的常用命令注入符号”;”,”|”,”&”被过滤了

试下`pwd`,发现反引号没有被过滤

发现了flag.php文件,但是又过滤了cat命令,但是还是可以使用head命令

headflag.php,又过滤了flag,只有2个文件,可以使用通配符

`headf*`###Task17scoreboard

Inndy说不用扫描服务器,查看过了源代码,没有,那么会藏在哪里呢?

用burp抓个包看看吧,原来flag就藏在respone的X-Flag里。

###Task18loginasadmin0

先贴一段源代码

调用了safe_filter过滤函数,把‘转换成了\\’

可以使用手工注入

\'or1#

成功绕过,但是并没有得到flag

\'or1limit1,1#

成功获取flag

###Task19loginasadmin0.1

提示:“Grabthehiddenflag”

题目既然是loginasadmin0.1,那么肯定上一题有关联,顺着这个线索,继续找。

上面那题还可以使用sqlmap来跑,不过需要自己写一个tamper

这里该一个tamper,把unmagicquotes.py改一下,把原来宽字节注入的部分改成如下。

再跑sqlmap,登录点存在sql注入。

查表,里面有2个表,user表就是上一题的表,h1dden_f14g表就是这题的隐藏表。

成功get到flag

这道题用sqlmap跑最后的数据时候有点问题,可能是字符编码的问题,这里是用时间延迟注入跑出来的,跑了近1个小时。

这道题也可以使用手工注入,unionselect效率更高。

###Task20loginasadmin1

这道注入题和前面类似,只是为了增加难度,它的安全函数过滤了更多的字符串,先上源代码。

这里过滤了空格,我们需要对注入语句做一些处理。

admin\'/**/UNION/**/SELECT/**/1,version(),3,4#

登录进去就看到flag

###Task21loginasadmin1.2

这道题提示是道盲注题,关闭了回显,并且改了tamper也不能用sqlmap跑,只好自己动手丰衣足食,自己写个盲注的脚本来跑。

这是个半自动化的脚本,需要自己去改payload,截图是最后一步的脚本。

自己写的脚本比较慢,跑了好久,并且数据库里故意把存flag的表名和字段名设置的很长,都是32个字符的字符串

最后的flag很长长长…

###Task22loginasadmin3

源代码

这道题考的是cookie绕过

按照题目的算法,生一个admin账号,因为不知道密钥,尝试使用0,弱类型比较,更换cookie,成功绕过。

###Task23loginasadmin4

先上源代码

可以看到逻辑不严谨,只要用户名是admin就可以显示flag

使用burp抓包,截断,获得flag

###Task24loginasadmin6

这道题考的是strcmp函数漏洞和变量覆盖漏洞。

废话少说上源代码

测试的时候先用guest账号,再构造一个空数组做密码,成功绕过登录。

但是在使用admin账号的时候死活无法绕过,曾经一度怀疑人生了,后来突然一想,既然admin账号不对的话,那么就构造一个admin账号覆盖原来的账号。

上payload

{"users":{"admin":"test"},"username":"admin","password":{}}

也可以不利用strcmp漏洞,直接构造一个密码,用自己构造的密码登录。

{"users":{"admin":"test"},"username":"admin","password":"test"}###Task25loginasadmin7

还是先上源代码

这道题的考点是php的弱类型比较,随便找一个弱类型的密码,登录后成功获取flag

###Task26dafuq-manager1

一开始想的比较多,还看了好长时间源代码,这道题其实很简单。

根据提示,构建一个cookie

help=me;

然后可以看到进一步提示,修改cookie试试,cookie里面有一个hidden参数

show_hidden=no

把no改成yes就可以了,再刷新页面就可以看到flag文件了。

*参考来源:hackme.inndy,作者baymax1908,转载请注明来自FreeBuf.COM

相关阅读

  • 电影花絮
  • 电影情报
  • 圈子新闻
  • 电影新闻
  • 电影搜罗
  • 电视剧
  • 影视演员
推荐阅读