攻破天网系统——Real World CTF (2022) 解题实录
<在线夺旗赛>
各位黑客朋友们好ッ✋✋,
这份技术报告将分享我在 Real World CTF 2022 中破解 Web 挑战的一种可行方案。所有挑战都基于真实世界应用构建,由于疫情影响,第四届 Real World CTF 采用线上模式。从挑战描述中,我判断存在 SQL 注入漏洞。经过约 24 小时尝试却以失败告终!
在此衷心感谢 Fanky 和 xl00t。比赛期间这个挑战让我备受煎熬,但在与两位交流后,我以全新视角重新尝试并最终攻克。因此决定为这个特殊挑战撰写技术报告。现在让我们开始:
挑战名称:入侵天网系统
挑战类型:Web
难度等级:薛定谔级(如同既死又活的假想猫,这个挑战可能"简单到发狂")
存在两种预期解决方案:
通过逻辑漏洞绕过登录并实施 SQL 注入(需绕过 WAF)
滥用 Flask 框架特性
SQL 注入攻击
数据库识别
通过代码分析确认后端使用 SQLite 数据库,存在target_credentials
表。
注入验证
有效 payload 示例:
通过修改 offset 值遍历 12 条记录。
数据库结构探测
确认表结构:
account
password
access_key
secret_key
最终攻击
获取敏感数据的终极 payload:
成功提取全部关键字段!
最终 flag:
rwctf{t0-h4ck-$kynet-0r-f1ask_that-Is-th3-questi0n}
自动化实现
可使用以下 exploit 代码自动化攻击流程:(代码作者:xl00t)
希望这份技术报告对您有所启发。欢迎通过 @7h3h4ckv157 与我交流安全技术。下次见!🔈
附:Infosec Writeups 首届虚拟会议 IWCon2022 正在招募,汇聚 16 位顶尖安全专家,详情见iwcon.live更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码
办公AI智能小助手
评论