1
ttskym 2013-07-27 19:46:52 +08:00
帮顶,大南邮威武。
|
2
janxin 2013-07-27 20:21:50 +08:00 1
Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的
楼主的项目也不错 :) |
3
fucker OP @janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。
大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。 |
6
panlilu 2013-07-27 22:48:56 +08:00
@fucker 好久没有玩这种了。。
做到了这一步。。 恭喜你获得了本关第二个KEY: (已隐去) 接下来的挑战是得到一个webshell~ tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2 话说。。sae的python环境不能这么玩吧。。 |
9
panlilu 2013-07-27 23:12:02 +08:00 1
@fucker 后面上传文件失败是不是目前属于这个游戏还没完善?
我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。) 凑后台地址凑了好久。。 |
12
fucker OP @panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了
|
14
fucker OP @panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。
|
15
panlilu 2013-07-28 00:12:49 +08:00 1
我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多
HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧 另外最近真的很忙,抽不出时间弄这个见谅。 ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。= |
20
fucker OP @kojp valo的确是一位神一样的大牛,是我的好朋友。如果你见过他,那么应该是在wooyun,习科或者其他著名论坛里面。
|
22
binux 2013-07-28 01:42:00 +08:00
@fucker 我还干过只有特定UA才会出现的后台,目录级ngnix转发不同后端什么的。。这事情就没完了
不过主要是性格不喜欢吧。。这种猜测性的东西,猜中了就中了,没猜中进度永远是0% |
38
fucker OP @panlilu =。=抱歉我眼瞎才看到你的回复。。。对于你说的RESTful,我对它的理解和撸码能力还有限,所以即便是你这样的建议仅凭我,目前还做不到。我更没理解你说的用webapp包装一下的意思,好吧这个不怪我语文老师。。
我很感谢你提了这些,不过既然没有时间那我也不勉强了,好可惜啊。 |
39
xavierskip 2013-07-28 09:58:42 +08:00
哈哈,注入被发现了!
该怎么利用呢? |
40
ccbikai 2013-07-28 13:52:31 +08:00
南邮……
|
42
fucker OP @xavierskip 和普通的注入一样,但是需要绕过注入检测,这也是一个难点啊
|
43
fucker OP @mozutaba 这没什么,有想法有思路会python,其他不会的可以再学。如果你会一些其他的技术,那就更好了,可以再扩展。就看你有没有兴趣参与了
|
44
shenyuanv 2013-07-29 17:09:03 +08:00
已经通过sql注入找到账号密码,这个账号密码就是第一个Key?找到后台地址也是游戏的一部分吗?
|
45
fucker OP @shenyuanv 那倒不是,第一个key也在数据库里,拿到后台地址,也只是获得第二个key和第三个key的开始。。。
|
46
fork3rt 2013-07-30 17:20:16 +08:00
哈哈,注入被发现了! ....
|
49
fucker OP @shenyuanv 啊哈,是啊,现在做的是针对sqlite的注入,要查询sqlite_master表的sql列哈~sae不支持sqlite,只能把mysql装的像一点sqlite了。。。以后想做多种数据库的注入,似乎不怎么容易实现。。。
|
51
fucker OP @shenyuanv =。=我没有完整测试过sae上的mysql注入,information_schema库应该可以用的吧?!
|
52
panlilu 2013-07-30 19:28:14 +08:00
= =.后台地址我真的是靠猜的,虽然猜的时间比较久毕竟还是猜出来了orz
|
54
fucker OP @panlilu 也可以啊,本来是想放进robots.txt里的,毕竟现在还是alpha无限内测,就暂时搁数据库里吧,可以通过注入查询到的。
|
56
shenyuanv 2013-07-30 20:05:53 +08:00
@fucker 现在就是针对sqlite注入发现了key-is-here的表,但是没有猜出字段名,话说key和后台地址应该都在这个表里吧?卡在这儿了,有点头疼,有小提示吗?
Ps:mysql的user()函数虽然过滤了,但是仍然可以绕过:44zlww****@10.67.**.**。这个属于游戏范围吗? |
57
fucker OP @shenyuanv sqlite_master表里面的字段是sql,但是别忘了加 ``。绕过了user()函数必然不在游戏范围之内啊,我没有详细测,只是大概过滤了一下。。
|
58
ykennyy 2013-07-31 10:00:34 +08:00
有意加入
|
60
lvye 2013-07-31 11:16:14 +08:00
你说的南邮的,不会指的是我吧??
|
62
horryq 2013-07-31 11:18:15 +08:00
python 新手不知道要不要…
|
65
fucker OP @lvye 这里是程序员射区,没人射你资料的放心哈 =。= 话说比赛什么时候办呢?完了有没有录像啥的?我想看看那些同学们做我这题时蛋疼的表情。。。
|
66
ashin 2013-07-31 11:27:02 +08:00
哈哈 不错 建议楼主把凤毛麟角换成九牛一毛
|
70
cppoba 2013-08-16 00:36:40 +08:00
我有兴趣。能否加一下我。
目前进入到登录界面,但是IP限制,进不去~~ |
71
itaotao 2013-08-16 11:05:04 +08:00
不明觉厉啊
|