 |
1
ttskym Jul 27, 2013
帮顶,大南邮威武。
|
 |
2
janxin Jul 27, 2013  1
Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的
楼主的项目也不错 :) |
 |
3
fucker OP @janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。
大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。 |
 |
6
panlilu Jul 27, 2013
@fucker 好久没有玩这种了。。
做到了这一步。。 恭喜你获得了本关第二个KEY: (已隐去) 接下来的挑战是得到一个webshell~ tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2 话说。。sae的python环境不能这么玩吧。。 |
|
9
panlilu Jul 27, 2013 1
@fucker 后面上传文件失败是不是目前属于这个游戏还没完善?
我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。) 凑后台地址凑了好久。。 |
|
12
fucker OP @panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了
|
|
14
fucker OP @panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。
|
|
15
panlilu Jul 28, 2013 1
我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多
HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧 另外最近真的很忙,抽不出时间弄这个见谅。 ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。= |
 |
22
binux Jul 28, 2013
@fucker 我还干过只有特定UA才会出现的后台,目录级ngnix转发不同后端什么的。。这事情就没完了
不过主要是性格不喜欢吧。。这种猜测性的东西,猜中了就中了,没猜中进度永远是0% |
|
38
fucker OP @panlilu =。=抱歉我眼瞎才看到你的回复。。。对于你说的RESTful,我对它的理解和撸码能力还有限,所以即便是你这样的建议仅凭我,目前还做不到。我更没理解你说的用webapp包装一下的意思,好吧这个不怪我语文老师。。
我很感谢你提了这些,不过既然没有时间那我也不勉强了,好可惜啊。 |
 |
39
C0VN Jul 28, 2013
哈哈,注入被发现了!
该怎么利用呢? |
 |
40
ccbikai PRO 南邮……
|
|
42
fucker OP @xavierskip 和普通的注入一样,但是需要绕过注入检测,这也是一个难点啊
|
|
43
fucker OP @mozutaba 这没什么,有想法有思路会python,其他不会的可以再学。如果你会一些其他的技术,那就更好了,可以再扩展。就看你有没有兴趣参与了
|
 |
44
shenyuanv Jul 29, 2013
已经通过sql注入找到账号密码,这个账号密码就是第一个Key?找到后台地址也是游戏的一部分吗?
|
 |
46
fork3rt Jul 30, 2013
哈哈,注入被发现了! ....
|
|
49
fucker OP @shenyuanv 啊哈,是啊,现在做的是针对sqlite的注入,要查询sqlite_master表的sql列哈~sae不支持sqlite,只能把mysql装的像一点sqlite了。。。以后想做多种数据库的注入,似乎不怎么容易实现。。。
|
|
52
panlilu Jul 30, 2013
= =.后台地址我真的是靠猜的,虽然猜的时间比较久毕竟还是猜出来了orz
|
|
56
shenyuanv Jul 30, 2013
@fucker 现在就是针对sqlite注入发现了key-is-here的表,但是没有猜出字段名,话说key和后台地址应该都在这个表里吧?卡在这儿了,有点头疼,有小提示吗?
Ps:mysql的user()函数虽然过滤了,但是仍然可以绕过:44zlww****@10.67.**.**。这个属于游戏范围吗? |
|
57
fucker OP @shenyuanv sqlite_master表里面的字段是sql,但是别忘了加 ``。绕过了user()函数必然不在游戏范围之内啊,我没有详细测,只是大概过滤了一下。。
|
 |
58
ykennyy Jul 31, 2013
有意加入
|
 |
60
lvye Jul 31, 2013
你说的南邮的,不会指的是我吧??
|
 |
62
horryq Jul 31, 2013
python 新手不知道要不要…
|
 |
66
ashin Jul 31, 2013
哈哈 不错 建议楼主把凤毛麟角换成九牛一毛
|
 |
70
cppoba Aug 16, 2013
我有兴趣。能否加一下我。
目前进入到登录界面,但是IP限制,进不去~~ |
 |
71
itaotao Aug 16, 2013
不明觉厉啊
|
Select Language