标签:爆破 WEB21 28 burpsuite mt flag CTFSHOW php com
web21
打开网站弹出登录窗口
用burpsuite抓包
网站采用的是Basic认证,详细参考https://www.cnblogs.com/rinack/p/7595232.html
输入的用户名和密码以base64的形式传输
使用burpsuite的intruder功能
payloads选择Cutom iterator
position1
position2
使用本题提供的字典
添加base64加密
取消特殊符号的编码,因为base64加密后可能会出现‘=’。
爆破成功
web22
用Layer进行子域名爆破
找到flag.ctfer.com
web23
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 11:43:51
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 11:56:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include('flag.php');
if(isset($_GET['token'])){
$token = md5($_GET['token']);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $flag;
}
}
}else{
highlight_file(__FILE__);
}
?>
根据php代码分析
对传入的token进行md5,并且需要满足一系列的条件
直接用burpsuite爆破,不用分析逻辑==
自定义真好用
先试下三位,应该够了
每个位置选择a-z,A-Z,0-9
这样爆破唯一坏处就是有点慢,服务器可能处理不过来。==
太慢了,放弃了
还是自己写脚本来判断吧。
给的php代码,那肯定写php脚本了
<?php
error_reporting(0);
$string = '0123456789QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm';
for($a=0;$a<strlen($string);$a++){
for($b=0;$b<strlen($string);$b++){
for($c=0;$c<strlen($string);$c++){
$flag = $string[$a].$string[$b].$string[$c];
$token = md5($flag);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $flag."\n";
}
}
}
}
}
?>
跑出来很多匹配的
随便传一个,得到flag
web24
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:26:39
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 13:53:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(372619038);
if(intval($r)===intval(mt_rand())){
echo $flag;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
?>
这道题显然是伪随机数,真正的随机数是不可能的。
在php中,当mt_srand即种子被确定后,后面生产的随机数都可以计算出来。
很简单。
web25
分析代码
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:56:57
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(hexdec(substr(md5($flag), 0,8)));
$rand = intval($r)-intval(mt_rand());
if((!$rand)){
if($_COOKIE['token']==(mt_rand()+mt_rand())){
echo $flag;
}
}else{
echo $rand;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
$flag不知道,所以种子也不知道,==
但是当判断不正确时,会输出$rand,尝试反推出mt_srand。
利用工具:https://github.com/Al1ex/php_mt_seed
显然计算出mt_rand=1899588896
种子可能的数据有几个。
先试一下最后一个:2864159902
成功拿到flag
web26
字典就用web21给的那个就可以。
web27
录取名单下载下来瞧一瞧
出生年月被隐藏了。
这儿刚好可以用姓名和身份证号登录
用burpsuite爆破
这里抓包的时候第一个抓到的不是我们需要的包,drop掉,第二个才是
要爆挺久的
unicode解码,得到帐号和密码
登录,得到flag
web28
看提示,让我们爆破目录,
有一个200的目录,打开发现flag
标签:爆破,WEB21,28,burpsuite,mt,flag,CTFSHOW,php,com 来源: https://www.cnblogs.com/fallingskies/p/14365307.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。