BugKu CTF(Web):sqli-0x1 & baby lfi & baby lfi 2
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
前言
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。
BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
BugKu的特点如下:
1. 漏洞丰富:BugKu提供了大量的漏洞场景供用户挑战,涵盖了常见的Web漏洞,如XSS、SQL注入、文件上传等,以及其他类型的漏洞,如逆向工程、密码学等。
2. 适合不同水平:BugKu的题目分为不同的难度级别,适合不同水平的参与者。从初学者到专业渗透测试人员,都能在BugKu中找到适合自己的挑战。
3. 学习资源:BugKu提供了丰富的学习资源,包括解题思路、漏洞分析、修复建议等。参与者可以通过学习他人的解题思路和经验,提高自己的技术水平。
4. 排行榜竞赛:BugKu设置了排行榜,参与者可以通过解决题目获取积分,竞争排名。这种竞争激励机制可以激发参与者的学习兴趣和动力。
通过参与BugKu,参与者可以在实践中学习到真实的漏洞和攻击技术,提高自己的技术水平。同时,BugKu也是一个交流和分享的平台,参与者可以与其他安全爱好者进行讨论和学习,共同成长。
CTF Web
随着 WEB 2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于 WEB 环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在 WEB 平台上,WEB 业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是 WEB 安全威胁的凸显,黑客利用网站操作系统的漏洞和 WEB 服务程序的漏洞得到 WEB 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
在 CTF 竞赛中,WEB 也是占比重很大的一个方向之一,WEB 类的题目种类繁多,知识点细碎,时效性强,能紧跟时下热点漏洞,贴近实战。
WEB 类的题目包括但不限于:SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造、文件上传、文件包含、框架安全、PHP 常见漏洞、代码审计等。
SQL 注入 ¶
通过在用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的:
- 程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句
- 未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中
XSS 跨站脚本攻击 ¶
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
命令执行 ¶
当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如 PHP 中的 system
、exec
、shell_exec
等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。这里还是主要以 PHP 为主介绍命令执行漏洞,Java 等应用的细节待补充。
文件包含 ¶
如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。
CSRF 跨站请求伪造 ¶
跨站请求伪造(Cross-Site Request Forgery,CSRF)是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以 CSRF 攻击主要用来执行动作,而非窃取用户数据。当受害者是一个普通用户时,CSRF 可以实现在其不知情的情况下转移用户资金、发送邮件等操作;但是如果受害者是一个具有管理员权限的用户时 CSRF 则可能威胁到整个 WEB 系统的安全。
SSRF 服务器端请求伪造 ¶
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。
文件上传 ¶
在网站的运营过程中,不可避免地要对网站的某些页面或者内容进行更新,这时便需要使用到网站的文件上传的功能。如果不对被上传的文件进行限制或者限制被绕过,该功能便有可能会被利用于上传可执行文件、脚本到服务器上,进而进一步导致服务器沦陷。
点击劫持 ¶
Clickjacking(点击劫持)是由互联网安全专家罗伯特 · 汉森和耶利米 · 格劳斯曼在 2008 年首创的。
是一种视觉欺骗手段,在 WEB 端就是 iframe 嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。
由于点击劫持的出现,便出现了反 frame 嵌套的方式,因为点击劫持需要 iframe 嵌套页面来攻击。
下面代码是最常见的防止 frame 嵌套的例子:
if(top.location!=location)
top.location=self.location;
VPS 虚拟专用服务器 ¶
VPS(Virtual Private Server 虚拟专用服务器)技术,将一部服务器分割成多个虚拟专享服务器的优质服务。实现 VPS 的技术分为容器技术,和虚拟化技术。在容器或虚拟机中,每个 VPS 都可分配独立公网 IP 地址、独立操作系统、实现不同 VPS 间磁盘空间、内存、CPU 资源、进程和系统配置的隔离,为用户和应用程序模拟出独占使用计算资源的体验。VPS 可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS 为使用者提供了管理配置的自由,可用于企业虚拟化,也可以用于 IDC 资源租用。
IDC 资源租用,由 VPS 提供商提供。不同 VPS 提供商所使用的硬件 VPS 软件的差异,及销售策略的不同,VPS 的使用体验也有较大差异。尤其是 VPS 提供商超卖,导致实体服务器超负荷时,VPS 性能将受到极大影响。相对来说,容器技术比虚拟机技术硬件使用效率更高,更易于超卖,所以一般来说容器 VPS 的价格都低于虚拟机 VPS 的价格。
条件竞争 ¶
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。
XXE¶
XXE Injection 即 XML External Entity Injection,也就是 XML 外部实体注入攻击. 漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题。
在 XML 1.0 标准里,XML 文档结构⾥里定义了实体(entity)这个概念. 实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容. 如果在这个过程中引入了「污染」源,在对 XML 文档处理后则可能导致信息泄漏等安全问题。
XSCH¶
由于网站开发者在使用 Flash、Silverlight 等进行开发的过程中的疏忽,没有对跨域策略文件(crossdomain.xml)进行正确的配置导致问题产生。 例如:
<cross-domain-policy>
<allow-access-from domain=“*”/>
</cross-domain-policy>
因为跨域策略文件配置为 *
,也就指任意域的 Flash 都可以与它交互,导致可以发起请求、获取数据。
越权(功能级访问缺失)¶
越权漏洞是 WEB 应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。
敏感信息泄露 ¶
敏感信息指不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。包括:个人隐私信息、业务经营信息、财务信息、人事信息、IT 运维信息等。 泄露途径包括 Github、百度文库、Google code、网站目录等。
错误的安全配置 ¶
Security Misconfiguration:有时候,使用默认的安全配置可能会导致应用程序容易遭受多种攻击。在已经部署的应用、WEB 服务器、数据库服务器、操作系统、代码库以及所有和应用程序相关的组件中,都应该使用现有的最佳安全配置,这一点至关重要。
请求走私 ¶
在 HTTP 协议中,存在两种 Header 来指定请求的结尾,分别是 Content-Length 以及 Transfer-Encoding。在复杂的网络环境下,不同的服务器以不同的方式实现 RFC 标准。因此,相同的 HTTP 请求,不同的服务器可能会产生不同的处理结果,这样就产生了了安全风险。
TLS 投毒 ¶
在 TLS 协议中,存在一种会话复用机制,当支持该类特性的客户端访问了恶意 TLS 服务器后,客户端会存储恶意服务器下发的 Session ,在客户端重用会话时,配合 DNS Rebinding 可以实现让客户端发送恶意 Session 至内网服务,从而达到 SSRF 攻击效果,包括可以任意写入 Memcached 等内网服务,进而配合其他漏洞造成 RCE 等危害。
XS-Leaks¶
跨站脚本泄漏(又称 XS-Leaks/XSLeaks),是一类利用 Web 平台内置的侧信道衍生出来的漏洞。其原理是利用网络上的这种侧信道来揭示用户的敏感信息,如用户在其他网络应用中的数据、用户本地环境信息,或者是用户所连接的内部网络信息等。
该攻击利用了 Web 平台的核心原则 -- 可组合性,即允许网站之间相互作用,并滥用合法机制来推断用户的信息。该攻击与跨站请求伪造(CSRF)技术主要区别在于 XS-Leaks 并不伪造用户请求执行操作,而是用来推断、获取用户信息。
浏览器提供了各种各样的功能来支持不同 Web 应用程序之间的互动;例如,浏览器允许一个网站加载子资源、导航或向另一个应用程序发送消息。虽然这些行为通常受到网络平台的安全机制的限制(例如同源政策),但 XS-Leaks 利用了网站之间互动过程中的各种行为来泄露用户信息。
WAF¶
Web 应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:WEB 应用防火墙是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 WEB 应用提供保护的一款产品。
IDS¶
IDS 是英文 Intrusion Detection Systems 的缩写,中文意思是「入侵检测系统」。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么 IDS 就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
IPS¶
入侵防御系统(IPS:Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,Application Gateway)的补充。入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
一、sqli-0x1
打开场景
F12 检查源代码发现有一条注释
URL 上访问得到了源码
这段代码是一个简单的登录验证功能,它接受用户输入的用户名和密码,并在数据库中进行验证。以下是对代码的解析:
1. 第一行代码 `require_once("flag.php");` 引入了一个名为 `flag.php` 的文件。根据常见的习惯,这个文件通常包含了敏感信息,如验证密钥或密码等。在这个代码片段中,我们无法看到 `flag.php` 的具体内容。
2. 函数 `is_trying_to_hak_me($str)` 用于检测用户输入的字符串是否包含潜在的恶意代码。它使用一个名为 `$blacklist` 的数组来存储需要检测的关键词,如单引号,双引号,反引号等。在 `strpos()` 函数中通过遍历 `$blacklist` 数组,在用户输入字符串 `$str` 中查找是否存在关键词,若存在则返回 `true`,表示可能存在恶意行为。
3. 通过 `isset($_GET["pls_help"])` 检测是否有一个名为 `pls_help` 的 GET 参数。如果有该参数,代码将会显示当前文件的源代码,并退出程序。
4. 通过 `isset($_POST["user"])` 和 `isset($_POST["pass"])` 判断是否有名为 `user` 和 `pass` 的 POST 参数。同时使用 `!empty()` 函数检查这两个参数是否非空。如果满足条件,将分别将 `$_POST["user"]` 和 `$_POST["pass"]` 赋值给 `$user` 和 `$pass` 变量。
5. `is_trying_to_hak_me($user)` 用于检测用户输入的用户名是否包含恶意代码。如果返回 `true`,将输出 "why u bully me" 并终止程序。
6. 创建一个 SQLite3 数据库连接,并执行 SQL 查询语句 `SELECT * FROM users WHERE username='$user'`。如果查询失败,将输出 "pls dont break me" 并终止程序。如果查询成功,将结果赋值给 `$result` 变量。
7. 判断 `$result` 是否存在,如果存在则将密码字段进行分割,获取哈希值和盐值。通过 `hash("sha256", $pass.$salt)` 计算用户输入的密码的哈希值,并与数据库中的哈希值进行比较。如果匹配,则将 `$logged_in` 设置为 `true`,表示登录成功;否则,将 `$err` 设置为 "Wrong password"。
8. 如果 `$result` 不存在,则将 `$err` 设置为 "No such user"。
总结:这段代码实现了一个简单的登录验证功能,将用户输入的用户名和密码与数据库中的数据进行匹配。同时,它还包含了一些安全措施,如检测恶意代码和哈希密码存储。然而,这段代码也存在一些潜在的安全风险,如 SQL 注入和密码哈希的安全性等。为了提高安全性,建议进一步加强输入验证、使用预处理语句和加盐哈希等措施。
可以先通过 PHP 生成密码为 1,盐值为 1 的 Hash
<?php var_dump(hash("sha256","1"."1"));?>
4fc82b26aecb47d2868c4efbe3581732a3e7cbcc6c2efb32062c08170a05eeb8
先绕过用户名的正则过滤。查询一个不存在的账号,拼接 union select,将自定义的密码和盐生成的加密字符串注入,覆盖密码查询结果,使用自定义的密码即可通过密码校验
通过联合注入绕过用户名传入密码及密码的哈希值让它们相等就能绕过了
输入 Username:
1'union/**/select/**/1,'4fc82b26aecb47d2868c4efbe3581732a3e7cbcc6c2efb32062c08170a05eeb8$1
Password:
1
二、baby lfi
打开靶场
F12 查看源代码没有发现注释,题目应该是考察本地文件包含
页面提示选择语言,那就在 URL 后面跟上参数看看
http://82.157.146.43:11682/?language=fr
发现页面有回显
证明参数是对的,给出了提示 /etc/passwd,通过漏洞直接访问
http://82.157.146.43:11682/?language=/etc/passwd
三、baby lfi 2
打开靶场
还是一样的 language 是参数
但是这一关给出了一个 languages 目录,应该是要先访问这个目录再去访问 /etc/passwd
回显变了证明有戏,只能加 ../ 一个一个试了
http://82.157.146.43:16320/?language=./languages/../../../../etc/passwd
拿到 Flag
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)