注:爆破用到bp,暂时不考虑出安装教程和具体使用方法,可以边做题边学怎么用
本文也会用到hackbar,使用方法会在命令执行部分进行讲解
web21
爆破什么的,都是基操打卡网页发现是登录页面,打开intercept on——抓包,用弱口令账号admin与密码admin123登录。把抓到的包放到重放器reperter。
Authorization请求头用于验证是否有从服务器访问所需数据的权限,看到Basic,想到basic64编码。复制后一串用解码工具解码(推荐随波逐流),发现解码后是admin:admin123,说明格式是账号:密码。(账号爆破的话,应该先尝试root或者admin,本题账号是admin)
接下来是密码,题目给了字典,在dic.zip解压就行,拿着字典去爆破。
把重放器的包放到intruder
选择要爆破的位置,点击右侧的“添加payload位置”。再点击“位置”右边的“payload”进行具体设置
第一个是设置爆破方式,本题不变。第二个放字典或弱口令,选择从文件中加载——打开字典。
第三是处理:
1.上文提到格式为admin:密码,字典只有密码,所以选择添加前缀——在密码前加上“admin:”
2.抓包是拿到basic64编码后的结果,所以在我们爆破时提交的应该是编码后的admin:密码,因此选择编码——Basic64—encode。
最后把底下的url编码字符取消,因为basic编码后会有等会,如果这个不取消会改变basic编码后的结果
点击开始攻击,待攻击完成,点击长度。若不是正确密码则长度应该都差不多,正确的,长度会不一样(响应同理)。找到特殊的,点开响应,发现flag。
web22
web23
还爆破?这么多代码,告辞!函数学习————substr
string substr ( string $string , int $start [, int $length ] )
#返回字符串 string 由 start 和 length 参数指定的子字符串。分析代码(本题可以忽略)
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1))
#$token 的第 2 、 15 、 18 个字符必须相同
(intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))
#(token的第1、14、17个数值相加) ÷ 第一个的数值 === 第三十一的数值要求一个数字的token同时满足以下两个if就输出flag。不知道是多少没关系,直接爆破,总有一个数字符合条件。
通过hackbar传token=1然后抓包(或者bp抓包在重放器里传,再放intruder)
把token值设为爆破点,在“payload集”中选择类型为数值,范围选1-1000或者更多,开始攻击
找到特殊的长度,在响应中看到flag,回看payload,发现请求包的token是422
web24
爆个
可以与上一题步骤一样,爆破r的值。但这里的数值太大,你会发现爆到明年也爆不完
假如你爆完了,同理找到特殊的长度得到flag值
正确做法:
函数学习————intval
int intval( mixed $var[, int $base = 10] )
#通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。
函数学习————mt_srand()
void mt_srand([ int $seed] )
#用 seed 来给随机数发生器播种。 没有设定 seed 参数时,会被设为随时数。
#Note: 自 PHP 4.2.0 起,不再需要用 srand() 或 mt_srand() 给随机数发生器播种
#因为现在是由系统自动完成的。分析代码:
mt_srand(372619038);
#代码中使用mt_srand(372619038)固定了随机数生成器的种子
#这意味着mt_rand()生成的第一个随机数是确定的——伪随机数
intval($r)===intval(mt_rand())
#传入的 r 参数转换为整数后,必须与通过 mt_rand() 生成的随机数转换为整数后完全相等认识伪随机数,参考 星辰照耀你我 师傅的https://blog.csdn.net/qq_35493457/article/details/124080444?fromshare=blogdetail&sharetype=blogdetail&sharerId=124080444&sharerefer=PC&sharesource=Dave1205&sharefrom=from_link
同一个种子下,随机数的序列是相同的。
原理:当随机种子生成后,后面生成的随机数都会根据这个随机种子生成
因此写php代码,运行后的结果应该是一样的。
这里如果没有学习php,我推荐“菜鸟”这个网站,也能在线编译:https://www.runoob.com/try/runcode.php?filename=demo_intro&type=php
得到r值后直接在hackbar上传即得到flag。
web25
爆个,不爆了
分析代码:
mt_srand(hexdec(substr(md5($flag), 0,8)));
#先对变量 $flag 的值进行 md5 哈希运算,得到一个 32 位的十六进制字符串
#再通过 substr 函数截取该字符串的前 8 位字符,结果会被 hexdec 转换为十进制整数,
#作为 mt_srand 的随机数种子
$rand = intval($r)-intval(mt_rand());
#用 intval($r) 减去 intval(mt_rand()),结果赋值给 $rand
if((!$rand)){if($_COOKIE['token']==(mt_rand()+mt_rand())){echo $flag;
#若rand=0(即intval($r)=intval(mt_rand());)
同时要满足$_COOKIE['token']=(第二个mt_rand()+第三个mt_rand())先随便传一个r,get传r=0得到-2145758572(每次不一样),此时echo的是-$rand。所以传r=2145758572即可让rand等于0,绕过第一关。
第二关的token要用工具推种子,可看web24中的文章学习,这里直接给出
得到的结果第一个种子是正确的。传入cookie后得到flag。
web26
提示是爆破,简单抓个包,账号提示是root,密码随便填
选择爆破密码,一开始用bp自带的密码,发现行不通。再试着爆破数字,在响应中找到flag。
web27
CTFshow菜鸡学院招生啦!打开后发现是教务管理系统,用root/admin与弱密码登录发现行不通。
发现的登录下方有录取名单和查询系统,打开后发现可以利用信息泄露进行登录。需要姓名和身份证,就差身份证的中间几位,选择爆破。
根据查询拿到学号,并且登录就可以拿到flag
(注:好像火狐抓不到这个包,尝试用谷歌抓)
web28
大海捞针打开发现没有什么有用信息,源代码,扫描等等都没什么用。注意到url有点奇怪,重定向到/0/1/2.txt了。可能在重定向上做文章,选择爆破。
格式也要去尝试,发现去掉2.txt去爆破才是对的
以下是爆破过程:
明确格式后,添加两个爆破点,并把攻击类型改成集束炸弹
接着在payload——payload集中分别把1、2的类型都选成数值,范围改好后就可以开始攻击。
通过状态码找到flag。
