[Hacker101靶场] Mobile Webdev[moderate]

admin 2024年7月29日01:43:41评论25 views字数 1333阅读4分26秒阅读模式

本文章仅用于网络安全研究学习,请勿使用相关技术进行违法犯罪活动。

简介:Hacker101是世界上最大的赏金猎人网站Hackerone的教程靶场。

知识点:文件上传、zip目录穿越

这是一个android靶场,下载apk安装后主页如下。

REFRESH会去取请求一个网页,EDIT会可以编辑index.html文件。

[Hacker101靶场] Mobile Webdev[moderate]

图1:app主页

根据burpsuite抓包可以得到/save.php,/edit.php/content/目录。
save.php带两个参数filedata,可以新建文件和修改文件内容,有xss漏洞,尝试新建php文件成功,但是php代码标识会被过滤,无法绕过,白高兴了。
[Hacker101靶场] Mobile Webdev[moderate]
图2app主页   
edit.php文件的源代码看到提示/upload.php。
[Hacker101靶场] Mobile Webdev[moderate]
图3:edit.php源代码发现信息
访问/upload.php文件,只可以上传zip文件,上传提示缺少HMAC参数,经过测试只要新增hmac参数就可以,但是会提示hmac值不匹配。
[Hacker101靶场] Mobile Webdev[moderate]
图4:upload.php功能
apk反编译,使用jd-gui打开,在源代码中找到HmacKey,并且有提示让我们实现hmac
[Hacker101靶场] Mobile Webdev[moderate]
图5:反编译apk
使用python实现文件求hmac。
import hmacimport hashlibimport binasciikey = binascii.unhexlify('8c34bac50d9b096d41cafb53683b315690acf65a11b5f63250c61f7718fa1d1d')with open("phpinfo.zip", 'rb') as f:    data = f.read()h = hmac.new(key, data, hashlib.md5)print(h.hexdigest())
使用求的hmac值进行提交,这里注意不能使用burpsuite修改,burpsuite读取了zip文件,再上传hmac值就对不上了
方法一:直接在html中修改
[Hacker101靶场] Mobile Webdev[moderate]
图6:html上传文件
[Hacker101靶场] Mobile Webdev[moderate]
图7:获取flag 0
方法二:在kali1中调用如下命令
curl -vvv -H "X-Requested-With:com.hacker101.webdev" -F hmac=49f0f935a3bbff0e0a2bc94e3037f8c8 -F file=@phpinfo.zip https://d6d3e8864624d512a43a95f31034e219.ctf.hacker101.com/upload.php
[Hacker101靶场] Mobile Webdev[moderate]
图8:命令行上传文件
我们得到了Flag 0,并且有提示让我们把文件上传到其它目录
这上传的方法又让我学到了新姿势!
根据网上的payload,在zip中可以控制文件的目录,我想了个笨办法,在kali中,/kali目录下创建1.txt文件,然后在/kali/cache/1/1/1调用如下命令创建zip文件,成功创建符合要求的zip文件
zip 1 ../../../../1.txt

[Hacker101靶场] Mobile Webdev[moderate]

图9:压缩zip文件
计算1.zip的hmac,使用上面方法上传文件,成功获取flag 1。   
[Hacker101靶场] Mobile Webdev[moderate]
图10:获取Flag 2
感谢收看!

原文始发于微信公众号(Rsec):[Hacker101靶场] Mobile Webdev[moderate]

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日01:43:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [Hacker101靶场] Mobile Webdev[moderate]http://cn-sec.com/archives/3008804.html

发表评论

匿名网友 填写信息