美文网首页
Natas通关指南(1-10)

Natas通关指南(1-10)

作者: 蚁景科技 | 来源:发表于2018-08-23 16:03 被阅读38次

    本文为原创文章,转载请注明出处!

    OverTheWire 是一个 wargame 网站。其中Natas是一个适合学习Web安全基础的游戏,在Natas中,我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站,类似http://natasX.natas.labs.overthewire.org,其中X是每一关的编号。每一关都要输入用户名(例如,level0的用户名是natas0)及其密码才能访问。所有密码存储在/etc/natas_webpass/中。例如natas1的密码存储在文件/etc/natas_webpass/natas1中,只能由natas0natas1读取。网站:http://overthewire.org/wargames/natas/

    Tips:所用工具:Chrome浏览器;Curl

    Level 0 -1

    Username: natas0 Password: natas0 URL: http://natas0.natas.labs.overthewire.org

    首先登录natas0,得到一句提示:

    You can find the password for the next level on this page.

    通过查看页面源代码,发现注释掉的代码,即为natas1的密码

    You can find the password for the next level on this page.

    Level 1 -2

    Username: natas1 URL: http://natas1.natas.labs.overthewire.org

    登录natas1,得到一句提示:

    You can find the password for the next level on this page, but rightclicking has been blocked!

    提示说,可以在这一页找到密码,但是禁用了右键功能,那我们按F12就好了,打开浏览器的开发者工具,切换到Elements选项卡,查看页面的源代码,发现了密码。

    You can find the password for the

    next level on this page, but rightclicking has been blocked!

    Level 2 -3

    Username: natas2 URL: http://natas2.natas.labs.overthewire.org

    登录natas2,提示如下:There is nothing on this page  

    查看页面源代码中没有发现进入下一关的密码,但是发现了一个img标签,引用了一张图片

    访问这个链接: http://natas2.natas.labs.overthewire.org/files/pixel.png,没有什么发现,试试访问它的上一级路径: http://natas2.natas.labs.overthewire.org/files/,发现是一个允许列目录的路径。

    index of /files

    [ICO]    Name    Last modified   Size    Description

    [PARENTDIR]    Parent Directory        -    

    [IMG]    pixel.png   2016-12-15 16:07    303  

    [TXT]    users.txt   2016-12-20 05:15    145  

    Apache/2.4.10 (Debian) Server at natas2.natas.labs.overthewire.org Port 80

    访问users.txt,发现密码

    # username:password

    alice:BYNdCesZqW

    bob:jw2ueICLvT

    charlie:G5vCxkVV3m

    natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

    eve:zo4mJWyNj2

    mallory:9urtcpzBmH

    Level 3 -4

    Username: natas3 URL: http://natas3.natas.labs.overthewire.org

    登录natas3,同样提示Thereisnothing onthispage

    查看页面源代码,发现一句提示:

    说Google不会找到它,我们知道Google是搜索引擎,如果要让搜索引擎不爬取相关页面,只需要在网站下放一个robots.txt文件即可,搜索引擎会遵守里面的规则,不爬取禁止的页面。所以看看robots.txt文件,访问http://natas3.natas.labs.overthewire.org/robots.txt,可以看到如下内容:

    User-agent: *

    Disallow: /s3cr3t/

    访问 http://natas3.natas.labs.overthewire.org/s3cr3t/发现一个 users.txt文件,得到natas4的密码。

    Level 4 -5

    Username: natas4 URL: http://natas4.natas.labs.overthewire.org

    先访问之,提示Accessdisallowed.Youare visitingfrom"http://natas4.natas.labs.overthewire.org/"whileauthorized users should come onlyfrom"http://natas5.natas.labs.overthewire.org/",意思是你当前访问的页面需要从http://natas5.natas.labs.overthewire.org/页面来,才能通过认证。

    这里涉及一个概念:HTTPReferer,它是http header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。

    打开浏览器的开发者工具,切换到Network选项卡,刷新页面,观察页面请求,就能发现浏览器请求http://natas4.natas.labs.overthewire.org页面的请求头:

    Accept: ..........

    .................

    Referer: http://natas4.natas.labs.overthewire.org/

    其中Referer就是告诉浏览器当前页面是从哪个页面链接过来的,所以我们只需要把这个值改成http://natas5.natas.labs.overthewire.org/就行。这里我们使用curl这个工具,发送请求即可得到密码,当然也可以使用浏览器编辑请求重放功能,比如Firefox就有这个功能

    C:\Users\Root>curl -isu natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ natas4.natas.labs.overthewire.org --referer "http://natas5.natas.labs.overthewire.org/"

    HTTP/1.1 200 OK

    .......省略

    Access granted. The password for natas5 is iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

    Level 5 -6

    Username: natas5 URL: http://natas5.natas.labs.overthewire.org

    登录后提示Accessdisallowed.Youarenotloggedin。这就有点坑了,明明我们登录了,但是提示我们没有登录,这是为什么呢?这里就不得不说http协议的特点了,http协议是一种无状态的协议,每次传输完数据就会断开连接,那怎么才能验证身份呢,这时候就就靠cookie了,cookie由服务器分配给浏览器的,cookie存储了会话状态和身份信息,之后每次http请求,都会带上cookie信息给服务器,服务器根据cookie信息做出不同的响应。让我们来看一下登录http://natas5.natas.labs.overthewire.org之后浏览器存储的cookie,同样可以通过浏览器的开发者工具查看,Network选项卡中,点击请求的连接,然后点Cookies即可看到,我们看到cookie信息中有个loggedin的属性,它的属性值是0,我们将它改成1试试

    C:\Users\Root>curl -isu natas5:iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq natas5.natas.labs.overthewire.org --cookie "loggedin=1"

    HTTP/1.1 200 OK

    ......

    Access granted. The password for natas6 is aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1

    得到密码。

    Level 6 -7

    Username: natas6 URL: http://natas6.natas.labs.overthewire.org

    登录后,页面提示Inputsecret:,和一个提交按钮,还有个Viewsourcecode按钮。

    好像是需要我们提交一个参数,才会返回密码,我们可以点击Viewsourcecode查看页面源代码,以下是关键代码:

    代码的意思是,提交一个密钥,如果这个密钥和一个特定的密钥相同,便返回 natas7的密码,我们虽然不知道这个特殊的密钥是什么,但是代码中有一句 include"includes/secret.inc",说明是用这里面的密钥作比较,我们访问这个链接试试。返回了如下内容:

    然后我们把这个密钥提交,然后即可得到密码:

    Access granted. The password for natas7 is 7z3hEENjQtflzgnT29q7wAvMNfZdh0i9

    Level 7 -8

    Username: natas7 URL: http://natas7.natas.labs.overthewire.org

    登录后,页面上有两个可以点击的按钮,分别是HomeAbout,对应的链接分别是http://natas7.natas.labs.overthewire.org/index.php?page=home和http://natas7.natas.labs.overthewire.org/index.php?page=about,查看页面源码发现有一句被注释掉的提示:

    通过浏览器观察页面请求,发现不管是访问home还是about都是通过get方式提交参数访问的,而不是跳转。加上这句提示,这可能是文件包含漏洞,我们可以测试一下,尝试提交一些不存在的路径,比如访问http://natas7.natas.labs.overthewire.org/index.php?page=\,然后会返回一些报错信息:

    Warning: include(\): failed to open stream: No such file or directory in /var/www/natas/natas7/index.php on line 21

    Warning: include(): Failed opening '\' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/natas/natas7/index.php on line 21

    这更加证实了,是通过传参,然后调用include()函数。那我们把/etc/natas_webpass/natas8作为参数传入。

    http://natas7.natas.labs.overthewire.org/index.php?page=/etc/natas_webpass/natas8

    成功得到密码:DBfUBfqQG69KvJvJ1iAbMoIpwSNQ9bWe

    Level 8 -9

    Username: natas8 URL: http://natas8.natas.labs.overthewire.org

    登录后,发现页面内容和Level6-7是一样的。点击Viewsourcecode查看页面源代码,关键代码如下:

    同样需要提交一个正确的密钥,代码中给出了编码方法和编码后的结果,所以我们反着来一遍即可。

    将得到的结果作为参数提交,即可得到natas9的密码: Accessgranted.Thepasswordfornatas9isW0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl

    Level 9 -10

    Username: natas9 URL: http://natas9.natas.labs.overthewire.org

    登录后,提示Findwords containing:,需要输入一些内容,然后搜索,然后会输出一些内容。

    同样可以点击Viewsourcecode查看页面源代码,关键代码:

    通过代码可以看出,通过 passthru函数调用了 grep命令来查找我们提交的内容是否在 dictionary.txt中,但我们并不知道这个文件中有什么内容。既然调用了系统命令,我们试试命令注入吧。

    我们提交 ;cat/etc/natas_webpass/natas10,利用 ;分号截断 grep命令,加上第二命令,命令注入成功,成功返回密码: Output:nOpp1igQAkUzaI1GUUjzn1bFVj7xCNzu

    Level 10 -11

    Username: natas10 URL: http://natas10.natas.labs.overthewire.org

    登录后,和上一关一样,不过提示说Forsecurity reasons,we now filter on certain characters(出于安全考虑,过滤了一些字符)。先看看关键代码:

    可以发现,过滤了;|&这几个符号,说明不能再通过这几个符号截断grep了。我们可以试试利用grep本身。grep是支持正则表达式的,我们试试利用正则查找,提交内容为[a-zA-Z]/etc/natas_webpass/natas11,成功返回密码。/etc/natas_webpass/natas11:U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK

    未完待续......

    文章仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。

    相关文章

      网友评论

          本文标题:Natas通关指南(1-10)

          本文链接:https://www.haomeiwen.com/subject/ebnpiftx.html

          延伸阅读

          深度阅读

          • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

          栏目导航

          热点阅读

          关于我们|服务条款|联系我们|Natas通关指南(1-10)|投稿指南|网站地图|RSS订阅|排版工具|手机版

          提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

          Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

          备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

          本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

          所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!