Natas通关指南（1-10）

2018-08-23 本文已影响38人蚁景科技

本文为原创文章，转载请注明出处！

OverTheWire 是一个 wargame 网站。其中Natas是一个适合学习Web安全基础的游戏，在Natas中，我们需要通过找到网站的漏洞获得通往下一关的密码。每一关都有一个网站，类似http://natasX.natas.labs.overthewire.org，其中X是每一关的编号。每一关都要输入用户名（例如，level0的用户名是natas0）及其密码才能访问。所有密码存储在/etc/natas_webpass/中。例如natas1的密码存储在文件/etc/natas_webpass/natas1中，只能由natas0和natas1读取。网站：http://overthewire.org/wargames/natas/

Tips:所用工具：Chrome浏览器；Curl

Level 0 -1

Username: natas0 Password: natas0 URL: http://natas0.natas.labs.overthewire.org

首先登录natas0，得到一句提示：

You can find the password for the next level on this page.

通过查看页面源代码，发现注释掉的代码，即为natas1的密码

You can find the password for the next level on this page.

Level 1 -2

Username: natas1 URL: http://natas1.natas.labs.overthewire.org

You can find the password for the next level on this page, but rightclicking has been blocked!

提示说，可以在这一页找到密码，但是禁用了右键功能，那我们按F12就好了，打开浏览器的开发者工具，切换到Elements选项卡，查看页面的源代码，发现了密码。

You can find the password for the

next level on this page, but rightclicking has been blocked!

Level 2 -3

Username: natas2 URL: http://natas2.natas.labs.overthewire.org

查看页面源代码中没有发现进入下一关的密码，但是发现了一个img标签，引用了一张图片

访问这个链接： http://natas2.natas.labs.overthewire.org/files/pixel.png，没有什么发现，试试访问它的上一级路径： http://natas2.natas.labs.overthewire.org/files/，发现是一个允许列目录的路径。

index of /files

[ICO] Name Last modified Size Description

[PARENTDIR] Parent Directory -

[IMG] pixel.png 2016-12-15 16:07 303

[TXT] users.txt 2016-12-20 05:15 145

Apache/2.4.10 (Debian) Server at natas2.natas.labs.overthewire.org Port 80

访问users.txt，发现密码

# username:password

alice:BYNdCesZqW

bob:jw2ueICLvT

charlie:G5vCxkVV3m

natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14

eve:zo4mJWyNj2

mallory:9urtcpzBmH

Level 3 -4

Username: natas3 URL: http://natas3.natas.labs.overthewire.org

查看页面源代码，发现一句提示：

说Google不会找到它，我们知道Google是搜索引擎，如果要让搜索引擎不爬取相关页面，只需要在网站下放一个robots.txt文件即可，搜索引擎会遵守里面的规则，不爬取禁止的页面。所以看看robots.txt文件，访问http://natas3.natas.labs.overthewire.org/robots.txt，可以看到如下内容：

User-agent: *

Disallow: /s3cr3t/

访问 http://natas3.natas.labs.overthewire.org/s3cr3t/发现一个 users.txt文件，得到natas4的密码。

Level 4 -5

Username: natas4 URL: http://natas4.natas.labs.overthewire.org

先访问之，提示Accessdisallowed.Youare visitingfrom"http://natas4.natas.labs.overthewire.org/"whileauthorized users should come onlyfrom"http://natas5.natas.labs.overthewire.org/"，意思是你当前访问的页面需要从http://natas5.natas.labs.overthewire.org/页面来，才能通过认证。

这里涉及一个概念:HTTPReferer,它是http header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的。

打开浏览器的开发者工具，切换到Network选项卡，刷新页面，观察页面请求，就能发现浏览器请求http://natas4.natas.labs.overthewire.org页面的请求头：

Accept: ..........

.................

Referer: http://natas4.natas.labs.overthewire.org/

其中Referer就是告诉浏览器当前页面是从哪个页面链接过来的，所以我们只需要把这个值改成http://natas5.natas.labs.overthewire.org/就行。这里我们使用curl这个工具，发送请求即可得到密码，当然也可以使用浏览器编辑请求重放功能，比如Firefox就有这个功能

C:\Users\Root>curl -isu natas4:Z9tkRkWmpt9Qr7XrR5jWRkgOU901swEZ natas4.natas.labs.overthewire.org --referer "http://natas5.natas.labs.overthewire.org/"

HTTP/1.1 200 OK

.......省略

Access granted. The password for natas5 is iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq

Level 5 -6

Username: natas5 URL: http://natas5.natas.labs.overthewire.org

登录后提示Accessdisallowed.Youarenotloggedin。这就有点坑了，明明我们登录了，但是提示我们没有登录，这是为什么呢？这里就不得不说http协议的特点了，http协议是一种无状态的协议，每次传输完数据就会断开连接，那怎么才能验证身份呢，这时候就就靠cookie了，cookie由服务器分配给浏览器的，cookie存储了会话状态和身份信息，之后每次http请求，都会带上cookie信息给服务器，服务器根据cookie信息做出不同的响应。让我们来看一下登录http://natas5.natas.labs.overthewire.org之后浏览器存储的cookie，同样可以通过浏览器的开发者工具查看，Network选项卡中，点击请求的连接，然后点Cookies即可看到，我们看到cookie信息中有个loggedin的属性，它的属性值是0，我们将它改成1试试

C:\Users\Root>curl -isu natas5:iX6IOfmpN7AYOQGPwtn3fXpbaJVJcHfq natas5.natas.labs.overthewire.org --cookie "loggedin=1"

HTTP/1.1 200 OK

......

Access granted. The password for natas6 is aGoY4q2Dc6MgDq4oL4YtoKtyAg9PeHa1

得到密码。

Level 6 -7

Username: natas6 URL: http://natas6.natas.labs.overthewire.org

登录后，页面提示Inputsecret:,和一个提交按钮，还有个Viewsourcecode按钮。

好像是需要我们提交一个参数，才会返回密码，我们可以点击Viewsourcecode查看页面源代码，以下是关键代码：

代码的意思是，提交一个密钥，如果这个密钥和一个特定的密钥相同，便返回 natas7的密码，我们虽然不知道这个特殊的密钥是什么，但是代码中有一句 include"includes/secret.inc"，说明是用这里面的密钥作比较，我们访问这个链接试试。返回了如下内容：

然后我们把这个密钥提交，然后即可得到密码：

Access granted. The password for natas7 is 7z3hEENjQtflzgnT29q7wAvMNfZdh0i9

Level 7 -8

Username: natas7 URL: http://natas7.natas.labs.overthewire.org

登录后，页面上有两个可以点击的按钮，分别是Home和About，对应的链接分别是http://natas7.natas.labs.overthewire.org/index.php?page=home和http://natas7.natas.labs.overthewire.org/index.php?page=about，查看页面源码发现有一句被注释掉的提示：

通过浏览器观察页面请求，发现不管是访问home还是about都是通过get方式提交参数访问的，而不是跳转。加上这句提示，这可能是文件包含漏洞，我们可以测试一下，尝试提交一些不存在的路径，比如访问http://natas7.natas.labs.overthewire.org/index.php?page=\，然后会返回一些报错信息：

Warning: include(\): failed to open stream: No such file or directory in /var/www/natas/natas7/index.php on line 21

Warning: include(): Failed opening '\' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/natas/natas7/index.php on line 21

这更加证实了，是通过传参，然后调用include()函数。那我们把/etc/natas_webpass/natas8作为参数传入。

http://natas7.natas.labs.overthewire.org/index.php?page=/etc/natas_webpass/natas8

成功得到密码：DBfUBfqQG69KvJvJ1iAbMoIpwSNQ9bWe

Level 8 -9

Username: natas8 URL: http://natas8.natas.labs.overthewire.org

登录后，发现页面内容和Level6-7是一样的。点击Viewsourcecode查看页面源代码，关键代码如下：

同样需要提交一个正确的密钥，代码中给出了编码方法和编码后的结果，所以我们反着来一遍即可。

将得到的结果作为参数提交，即可得到natas9的密码： Accessgranted.Thepasswordfornatas9isW0mMhUcRRnG8dcghE4qvk3JA9lGt8nDl

Level 9 -10

Username: natas9 URL: http://natas9.natas.labs.overthewire.org

登录后，提示Findwords containing:，需要输入一些内容，然后搜索，然后会输出一些内容。

同样可以点击Viewsourcecode查看页面源代码，关键代码：

通过代码可以看出，通过 passthru函数调用了 grep命令来查找我们提交的内容是否在 dictionary.txt中，但我们并不知道这个文件中有什么内容。既然调用了系统命令，我们试试命令注入吧。

我们提交 ;cat/etc/natas_webpass/natas10，利用 ;分号截断 grep命令，加上第二命令，命令注入成功，成功返回密码： Output:nOpp1igQAkUzaI1GUUjzn1bFVj7xCNzu

Level 10 -11

Username: natas10 URL: http://natas10.natas.labs.overthewire.org

登录后，和上一关一样，不过提示说Forsecurity reasons,we now filter on certain characters（出于安全考虑，过滤了一些字符）。先看看关键代码：

可以发现，过滤了;|&这几个符号，说明不能再通过这几个符号截断grep了。我们可以试试利用grep本身。grep是支持正则表达式的，我们试试利用正则查找，提交内容为[a-zA-Z]/etc/natas_webpass/natas11，成功返回密码。/etc/natas_webpass/natas11:U82q5TCMMQ9xuFoI3dYX61s7OZD9JKoK

未完待续......