# WEB

## Intro

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F2arkyFXxKBPCetI51BCU%2FScreenshot_7.png?alt=media\&token=f303c310-5b97-43a8-b78e-4589406dda6e)

نبدأ مع اول تحدي

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FFsaKsuvHMbmeHl3BV2mm%2FScreenshot_1.png?alt=media\&token=d454b867-e4ab-4630-81bf-69e8e02f278d)

لو نلاحظ بعد ما فتحنا الموقع مافي اي شي مهم فالصفحه ف نشيك على السورس كود

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FKbeePxLv0AmFqI4zCTck%2FScreenshot_2.png?alt=media\&token=223ec551-7241-4812-9ed5-90024e6dd237)

وبكذا نكون جبنا الفلاق وحلينا اول تحدي 

## Admin

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FzCSUDFvklvvDolcW7c51%2FScreenshot_1.png?alt=media\&token=33e8e192-4d25-43d6-89a9-821e7774ef8a)

من وصف التحدي اكيد عرفنا الثغره واللي هي sql injection login bypass technique 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FpWH6H2fIDeIU2jx5XaDb%2FScreenshot_2.png?alt=media\&token=6cb03f4a-1aae-4eb3-80f2-ed3660f02942)

لو نلاحظ صفحه تسجيل دخول طبيعيه ونحتاج نسجل دخول بحساب الادمن

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fip02Cq5zi3kQxHOHh14F%2FScreenshot_3.png?alt=media\&token=45e1a108-455f-4770-beb3-298e76831ab9)

نجرب ابسط تخطي لصفحات تسجيل الدخول ونجرب 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FOntyNv7nkY5ZahIiA667%2FScreenshot_4.png?alt=media\&token=54c264f6-4540-4daf-9aaa-1ae41b8d9f36)

وبكذا جبنا الفلاق ولكن خلوني اشرح ليش اشتغل البايلود بالضبط وويش صار في الخلفيه 

```
لنفترض ان الكويري كانت 
select user,password from users where user='admin' and password='admin'
لما نكتب البايلود 
admin' or 1=1-- -
الكويري بتصير مثل كذا
select user,password from users where user='admin' or 1=1-- - 'and password='admin'
طبعا -- - تعتبر طريقه انك تكتب كومنت داخل الداتابيس ف كل شي بعدها يعتبر كومنت وبكذا تخطينا خانه الباسوورد وصرنا نسجل للالا
 دخول باليوزر فقط 
```

## Chaos

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FWaNxhv2dXy3El7BnSNgR%2FScreenshot_1.png?alt=media\&token=9b61e02e-95ea-403a-839f-2b596de03dfb)

نفتح الموقع ونتصفحه 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fsay3zAkXiIsu03Cu3xEs%2FScreenshot_2.png?alt=media\&token=95c44f92-c29b-47f5-a481-89a73469f649)

نلاحظ ان فيه مدخل للباسوورد فقط وحنا ما عندنا شي لحد الآن ف نتصفح السورس كود 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FDRTq3ULz5SVQxWmPZiHO%2FScreenshot_3.png?alt=media\&token=97d1beed-ee27-4f4a-8568-14dbe05adedf)

طبعا هنا نلاحظ ان فيه جافاسكريبت كود ولكن packed \
بمعنى انه يخلي الكود صعب للقرائه ف نبحث عن js deobfuscator\
طبعا عشان نتأكد انه packed اول فنكشن المتغير  p a c k e r  

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FcSPRFaqXOC6hSPvHCnWj%2FScreenshot_4.png?alt=media\&token=b15b9086-4747-47b7-a33a-39859e1c465f)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FIJWNW9tJj5pmIjH2iPzw%2FScreenshot_5.png?alt=media\&token=abef4f4f-f6a9-4fa2-80e0-e524d2f4dcd0)

بكذا نكون جبنا الفلاق بس اللي علينا نرتبه والترتيب سهل حسب الارقام ل substring 

## forbidden

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FfjP6FdYSySe1fyVaLFxD%2FScreenshot_1.png?alt=media\&token=d98a49cb-ba6b-4cfb-8c02-ae15b0f54db6)

ندخل الموقع ونشوف وش يطلع لنا 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FmE4fchfBOgklVAQRmgL0%2FScreenshot_2.png?alt=media\&token=f0afd6e5-9fc1-4df1-b2ad-0075a0c14a80)

نلاحظ ان ما يمدينا ندخل عالموقع ويعطينا 403 forbidden\
نبدأ نتأكد من ايش يتأكد اذا مصرح لنا بالدخول او لا 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FaXwOnIYSw6vmlgM3NFkd%2FScreenshot_3.png?alt=media\&token=8794613b-62c2-4404-865d-9614356af02e)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FmfCAH3CyAA6CT8mhpNIq%2FScreenshot_4.png?alt=media\&token=720a2252-c074-4dd1-bce9-739eac109945)

نلاحظ هنا في الريكويست انه مسوي سيت للكوكي auth بحيث يتحقق \
عدد احرف القيممه كان 40 وهذا نفس عدد sha1 hash \
نجرب موقع crackstation ونشوف اذا قدر يكسره او لا 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FEDEcMhsIcL6AfFOASria%2FScreenshot_5.png?alt=media\&token=ca0c8404-4864-4097-aa8d-41f069a90c1b)

وهنا بالفعل كان التشفير مثل المتوقع والقيمه للهاش كانت false \
نبحث عن موقع يشفر لنا sha1 ونغير الكوكي ونجرب 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FXxCBxkWcqGc1DqH0hQkQ%2FScreenshot_6.png?alt=media\&token=15ed7b7e-82c8-4266-a37e-a61bd18fdb8d)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FrSgOFzudmZMRQkBzxfbv%2FScreenshot_7.png?alt=media\&token=ae3b27ac-0e59-4204-8edd-cf63733f4229)

ننسخ قيمه الهاش لكلمه true ونغير الكوكي ونحدث الصفحه ونشوف 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FoaaSEAcLmj1aMqBPgE0J%2FScreenshot_8.png?alt=media\&token=e6c1cecf-7135-4fe6-89e2-1d7d5f5ca738)

وبكذا نكون حلينا التحدي وجبنا الفلاق 

## e!

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FbPLc9aWMMwOWZvdrEN9Y%2FScreenshot_1.png?alt=media\&token=b30a784e-2ffd-4e8a-80fe-5df3cfdb60aa)

ننزل الملف ونفتح الموقع 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FfHwHuNfh6B9b1GK3YeWE%2FScreenshot_2.png?alt=media\&token=ab02e610-ef82-4f7c-b272-294776ada5ba)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fv8JAMRGMpHj52mDkXOgR%2FScreenshot_3.png?alt=media\&token=3a033327-23c7-4c92-b930-894540f77006)

نلاحظ فكره الموقع انه find and replace words , characters \
ويستخدم الفنكشن preg\_replace\
نبدأ نبحث في قوقل عن استغلال للفنكشن

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FxesfOr8IIjFkzXH3LY4N%2FScreenshot_4.png?alt=media\&token=12f6fc46-15cf-405c-ba50-d13074265752)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FYqwyAEKuBqs8yXMZ8NBR%2FScreenshot_5.png?alt=media\&token=2d6166bf-f148-41f7-bd27-716cb1ccea0f)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fff1MzYg2Wi4JT9cUJz9Z%2FScreenshot_6.png?alt=media\&token=92b11a0c-faf9-47fc-8bb9-321945a417c8)

فكره الاستغلال انه يخلي القيمه اللي يبحث عنها عباره عن ريجكس والقيمه الجديده تكون php code

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Flyj5qL3p96XrpV82vFEi%2FScreenshot_8.png?alt=media\&token=74285343-5a85-457a-8272-b946d91800ab)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FP5VfOGBSnJiPG1JsjMbR%2FScreenshot_9.png?alt=media\&token=4688cbd2-8590-40b3-bdfe-45fd74e01847)

بعد ما ضغطنا submit بالفعل حولنا على صفحه phpinfo وكذا تأكدنا انا الاستغلال شغال 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FoRaRACNU5i36boDpaqpz%2FScreenshot_10.png?alt=media\&token=8f9bf653-193b-41e0-a0cb-bb1b82c08125) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FUskUUHuGtsf0Ncs1PdYa%2FScreenshot_11.png?alt=media\&token=09793958-fa9f-44a3-9d2f-68248fb97b98)

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FiGpcjPz9QM1nwSb4NjuH%2FScreenshot_12.png?alt=media\&token=4a8d446d-8256-4158-baf4-0a2888bae1f8) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F3sDlNvUyxJuqorN3yR9l%2FScreenshot_13.png?alt=media\&token=ac636ce3-f46c-4559-92c3-bccff256b985)

وبكذا نكون حلينا التحدي وجبنا الفلاق

## strcmp

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FTU8DzSD3C10VbyrLBJb7%2FScreenshot_1.png?alt=media\&token=b3d02d97-ecdc-43fb-a6f6-458231b0217b)

نبدأ كالعاده ونفتح الموقع 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F1op6Y5qea0CBqNQRldcW%2FScreenshot_2.png?alt=media\&token=919f856f-fc3d-4c0b-a1ba-df297168d167) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fmr8FiCOeLLEzCJeoSrgQ%2FScreenshot_3.png?alt=media\&token=2787d3bf-bb1f-48e7-bf00-5eca196da6c4)

نلاحظ انها صفحه تسجيل دخول ومعطينا السورس كود واللي كان يستخدم فنكشن strcmp عشان يتأكد من صحه المدخلات \
نبدأ نبحث عن استغلال مثل التحدي السابق

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FR76IhGDegAwYKuHwYq2Z%2FScreenshot_4.png?alt=media\&token=5b978f1e-fdc8-4d05-83dc-a1eeb3b62a1f) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FK9XWBVh2LsuJ8Jr10HIx%2FScreenshot_5.png?alt=media\&token=b04fa82b-d069-4bc8-b6ed-fc42d5a7cc27)

اللي سواه هو انه غير المتغير الى مصفوفه ف نسوي زيه ونشوف 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FUIDEb6mnwDbhwRWAcChE%2FScreenshot_6.png?alt=media\&token=d5753819-d06c-4d74-b3d8-8bb4346d642b)

بعد ما اتعرضنا الطلب ونسخنا الاستغلال اشتغل وبالفعل عطانا الفلاق \
طبعا لازم نستخدم الاستغلال للمتغيرين كلهم بسبب ان الفنكشن تمر عليهم كلهم

## symlink

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FIg3ug8UwrA7WSgyc6Rzm%2FScreenshot_1.png?alt=media\&token=7135e864-49ea-465d-9733-6e5c6b5ad825)

كأي تحدي نبدأ ندخل الموقع

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F9UMA9aMmNX4fA2ztiHZm%2FScreenshot_2.png?alt=media\&token=0f8ac97c-1031-40ac-9bc3-be353bd6a008)

بعد ما دخلنا الموقع شفنا فكرته انه ياخذ ملفات .zip ويفكها ويعطينا الملفات اللي داخلها \
نبدأ نبحث عن استغلالات وبالأحرى عن zip symlink exploit 

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fn0at1NkfZt28hkF4giGw%2FScreenshot_3.png?alt=media\&token=c0c19f09-cc7a-4eae-a203-7db23bffe2fa) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F9Zt9xIaVsieFsXVI1GMU%2FScreenshot_4.png?alt=media\&token=35e7f0ee-2001-4044-ab0f-68a64a0b39d3)

نبدأ نقلده ونجرب

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FeGdc8IE0HFmuJiM95UdP%2FScreenshot_5.png?alt=media\&token=51c49c00-cc4e-4190-92a2-f1094e64b379) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2Fz8F74ICwXaQLcacWnYRg%2FScreenshot_6.png?alt=media\&token=2690c3cd-d3e9-4b8e-bdd8-99078fc83e61)

بعد ما طبقنا نفس الاوامر ورفعنا الملف نلاحظ انه اشتغل وجاب لنا ملف etc/passwd\
نبدأ ندور الملف المهم وهو الفلاق\
بعد محاولات اني ادور flag.txt flag الخ داخل النظام \
قررت اخمن عالمسارات عالموقع واشوف

![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2F3G1g6RQNxwDOm9EEMOr0%2FScreenshot_7.png?alt=media\&token=7ffc150b-6609-49f0-b5e7-d529941a97cc) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FLp0FAd0HdTDzqTGeaREl%2FScreenshot_8.png?alt=media\&token=9472ff1b-2055-4cd8-909d-4d83a8317fdc) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FzHGPWSyRrovFXWgVCRlI%2FScreenshot_9.png?alt=media\&token=96364c0f-aa12-48ec-8039-fef7b76d4bfb) ![](https://3061301687-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MjfpG5FuSH7q1_Jh3W3%2Fuploads%2FyvemsK4X21qRR70I2us9%2FScreenshot_10.png?alt=media\&token=e7a8ddc2-65e5-45e2-a946-ac6dff4327e4)

بعد ما حصلنا ملف flag.php \
عدنا نفس خطوات الاستغلال ورفعنا الملف وبالفعل طلع لنا الفلاق وبكذا حلينا التحدي

#### Connect with me : 

Twitter : [@ul3n](https://twitter.com/ul3n)\
Discord : OneShot#7203\
Telegram : @f4h3d