CTF. WEB. Задания с Root-Me часть 16.

Alla1111

Original poster
Member
Сообщения
13
Реакции
2
Посетить сайт
CTF. WEB. Задания с Root-Me часть 16.
В этой статье по большей части представлена практическая часть, нежели теоретическая. В ней будет рассмотрено решение таких задач, как эксплуатация уязвимого веб- приложения в контексте заданий CTF.

Все задания мы берем и предоставляем Вас с известного сайта, ссылка которого прикреплена ниже:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Сегодня мы рассмотри очень интересную и важную задачу.
Итак, пример 1.
1.png

Значит, в этом задании нам необходимо найти уязвимость и расшифровать файл ".passwd". В описании нам советуют читать документацию. Перейдем на сайт, и узнаем,что еще нам предлагают.
2.png

Мы не находим форм ввода, но нам предоставлены ссылки на верхнем меню , можем нажать одну из них.
3.png

Итак, мы увидели,что установился параметр "?page" попробуем сделать Path Traversal и перейти выше.
4.png

Обратит внимание, здесь есть фильтрация через выражение (функция assert).
5.png

Мы можем предположить, что наши данные предоставляются в функцию strpos. Выражение может выглядеть, наподобие предоставленного ниже.
6.png

Давайте попытаемся закрыть функцию strops и открыть свою. Это сделать мы можем, так как фактично assert производит evel () того, что было передано. 7.png
Воспроизводим пейлоад, и пытаемся загрузить его на сервер.
8.png

Вот и все, пейлоад сработал. Чтобы разобраться с его работай, просто подставьте его в выражение и все поймете.

Пароль получен! Задание успешно решено!
 
Название темы
Автор Заголовок Раздел Ответы Дата
A CTF. WEB. Задания с Root-Me, часть 19 Полезные статьи 0
A CTF. WEB. Задание с Root-Me часть 17. Полезные статьи 0
A CTF. Практические задания категории WEB 15. Полезные статьи 0
AngelXXXanax Солевой генний или как пройти CTF Odin: 1 Полезные статьи 1
M CTF. С категории стартовые задания. Начальный уровень Crypto #8 Полезные статьи 0
M CTF. Стартовые задания. Первые задачи уровня Crypto #9 Полезные статьи 0
M Ответ на вопросы bnv Google CTF Quals 2019 Полезные статьи 0
A CTF. Задания для новичков. Начальные упражнения категории Crypto 6 Полезные статьи 0
A CTF. Куры для начинающих. Задание категории Crypto 3 Полезные статьи 0
A CTF. Курсы для начинающих. Задания категории Crypto 4 Полезные статьи 0
A CTF. Учеба с нуля. Стартовые задания категории Crypto. Полезные статьи 0
A CTF. Учеба с нуля. Начальные задания категории Crypto #8 Полезные статьи 0
T0pDro4eR Список фреймворков по CTF, библиотеки, разные источники, ПО. Уязвимости и взлом 0
0 aestore.io - Web Shell-Mailer-SMTP-SSH-Leads-Cpanel-Numbers-fresh-Accounts Аккаунты/Админки/Документы 0
bay0net [SELL] TXT/MHT-Dropper + Loader :: [web-панель, C++ WinAPI, offline] Продажа софта 3
bay0net Проверено [SELL] Стартер :: подготовка системы для шифрования [web-панель, C++ WinAPI, offline] Продажа софта 1
Dharma_Service На проверке Web development | разработка сайтов/магазинов/лендингов | платежные страницы | скрипты | dns сервера Ищу работу. Предлагаю свои услуги. 2
Alexservis Привет! Разработаем: WEB проект/ Сайт/ Копию Сайта/ Скрипты| Под ключ Ищу работу. Предлагаю свои услуги. 1
C Курс: Advanced Web Attacks and Exploatation (2020) Другое 0
safecar Продам Разработка web проектов любой сложности. Услуги дизайнеров/веб-разработчиков 1
H Web-shell без JavaScript с файл-менеджером на борту Корзина 0
R WEB-разработчик на C# Предоставляю работу. Ищу специалиста. 0
Denik Интересно Чем Deep web отличается от Darknet Полезные статьи 3
M Топ-5 лучших Dark Web Browser для анонимного просмотра веб - страниц с максимальной конфиденциальностью Уязвимости и взлом 0
SSHMAN Hack the Web. Взламываем сайт. Используем и эксплуатируем уязвимости. Уязвимости и взлом 1
GhosTM@n Интересно InduSoft Web Studio 8.1 SP1 - "Atributos" Denial of Service (PoC) Полезные статьи 0
B [Иван Петриченко] WEB-разработчик 2020 Полезные статьи 0
andre5787 Регистрация Web money на другие паспортные данные Вопросы и интересы 0
B HTML5 и CSS3 Современные средства Web-разработки - geekbrains Полезные статьи 0
Web-Link Web-link - каталог dark тематики Полезные статьи 3
M CryptoTab Browser by OrangePie - Download the browser for the web Софт для работы с текстом/Другой софт 0
АнАлЬнАя ЧуПаКаБрА INLINE Republic.ru B/C WEB Проекты Private Keeper 0
A GTF. Задания для новичков категории WEB 6 Полезные статьи 0
A Курсы для начинающих. Задания категории WEB 13 Полезные статьи 0
U WEB-разработка 50% скидка всем Ищу работу. Предлагаю свои услуги. 0
S Услуги дизайна для web сайтов и мобильных приложений Ищу работу. Предлагаю свои услуги. 1
N Acunetix Web Vulnerability Scanner 12.0.181012141 Full Lisence New 2019 Уязвимости и взлом 0
VipRin1 Путёвка в Dark Web , часть 2 Полезные статьи 0
T0pDro4eR Wapiti - Сканер Web - приложений Полезные статьи 0
T0pDro4eR Полезные ссылки для Web разработчиков Полезные статьи 2
Forevonly Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
kdroshev MySQL 5. Проектирование и создание баз данных для web Другое 0
Forevonly Web Breaker - Динамическое тестирование Web - приложений Kali Linux 0
P Atspace - Free Web Hosting with all the perks Полезные статьи 3
Forevonly ViSQL - сканер уязвимостей целевого web-ресурса Kali Linux 1
Forevonly OnionScan - исследуй Dark Web Kali Linux 0
Forevonly Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
Forevonly XAMPP - Web-сервер Полезные статьи 0
Simbion Пасcивный заработок через proxy-web Способы заработка 215
P Web Proxies Central V2 - Undetected Yet list of proxies Другие ЯП 0

Название темы