CTFSHOW-爆破-WEB21-28

web21

打开网站弹出登录窗口

CTFSHOW-爆破-WEB21-28

用burpsuite抓包

CTFSHOW-爆破-WEB21-28

 

网站采用的是Basic认证,详细参考https://www.cnblogs.com/rinack/p/7595232.html

 输入的用户名和密码以base64的形式传输

CTFSHOW-爆破-WEB21-28

使用burpsuite的intruder功能

payloads选择Cutom iterator

CTFSHOW-爆破-WEB21-28

position1

 

 CTFSHOW-爆破-WEB21-28

 

position2

使用本题提供的字典

CTFSHOW-爆破-WEB21-28

 

添加base64加密

CTFSHOW-爆破-WEB21-28

 

取消特殊符号的编码,因为base64加密后可能会出现‘=’。

 CTFSHOW-爆破-WEB21-28

 

爆破成功

CTFSHOW-爆破-WEB21-28

 

web22

用Layer进行子域名爆破

CTFSHOW-爆破-WEB21-28

 

找到flag.ctfer.com

CTFSHOW-爆破-WEB21-28

 

 

 

web23

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 11:43:51
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 11:56:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
error_reporting(0);

include('flag.php');
if(isset($_GET['token'])){
    $token = md5($_GET['token']);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo $flag;
        }
    }
}else{
    highlight_file(__FILE__);

}
?>

根据php代码分析

对传入的token进行md5,并且需要满足一系列的条件

直接用burpsuite爆破,不用分析逻辑==

CTFSHOW-爆破-WEB21-28

 

自定义真好用

 CTFSHOW-爆破-WEB21-28

 

先试下三位,应该够了

每个位置选择a-z,A-Z,0-9

CTFSHOW-爆破-WEB21-28

 

这样爆破唯一坏处就是有点慢,服务器可能处理不过来。==

太慢了,放弃了

还是自己写脚本来判断吧。

给的php代码,那肯定写php脚本了

<?php
error_reporting(0);

$string = '0123456789QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm';
for($a=0;$a<strlen($string);$a++){
    for($b=0;$b<strlen($string);$b++){
        for($c=0;$c<strlen($string);$c++){
            $flag = $string[$a].$string[$b].$string[$c];
            $token = md5($flag);
            if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
                if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
                    echo $flag."\n";
                }
            }
        }
    }
}
?>

跑出来很多匹配的

CTFSHOW-爆破-WEB21-28

 

随便传一个,得到flag

CTFSHOW-爆破-WEB21-28

 

 web24

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 13:26:39
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 13:53:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(372619038);
    if(intval($r)===intval(mt_rand())){
        echo $flag;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}

?> 

这道题显然是伪随机数,真正的随机数是不可能的。

在php中,当mt_srand即种子被确定后,后面生产的随机数都可以计算出来。

CTFSHOW-爆破-WEB21-28

 

很简单。

 CTFSHOW-爆破-WEB21-28

 

web25

分析代码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 13:56:57
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(hexdec(substr(md5($flag), 0,8)));
    $rand = intval($r)-intval(mt_rand());
    if((!$rand)){
        if($_COOKIE['token']==(mt_rand()+mt_rand())){
            echo $flag;
        }
    }else{
        echo $rand;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}

$flag不知道,所以种子也不知道,==

但是当判断不正确时,会输出$rand,尝试反推出mt_srand。

利用工具:https://github.com/Al1ex/php_mt_seed

CTFSHOW-爆破-WEB21-28

 

显然计算出mt_rand=1899588896

CTFSHOW-爆破-WEB21-28

 

 CTFSHOW-爆破-WEB21-28

CTFSHOW-爆破-WEB21-28

CTFSHOW-爆破-WEB21-28

 

种子可能的数据有几个。

 先试一下最后一个:2864159902

CTFSHOW-爆破-WEB21-28

 

CTFSHOW-爆破-WEB21-28

 

成功拿到flag

web26

CTFSHOW-爆破-WEB21-28

字典就用web21给的那个就可以。

CTFSHOW-爆破-WEB21-28

 

 web27

CTFSHOW-爆破-WEB21-28

 

录取名单下载下来瞧一瞧

CTFSHOW-爆破-WEB21-28

 

出生年月被隐藏了。

CTFSHOW-爆破-WEB21-28

 

这儿刚好可以用姓名和身份证号登录

用burpsuite爆破

这里抓包的时候第一个抓到的不是我们需要的包,drop掉,第二个才是

CTFSHOW-爆破-WEB21-28

 

 CTFSHOW-爆破-WEB21-28

 

 要爆挺久的

CTFSHOW-爆破-WEB21-28

unicode解码,得到帐号和密码

CTFSHOW-爆破-WEB21-28

 

登录,得到flag

web28

CTFSHOW-爆破-WEB21-28

 

 看提示,让我们爆破目录,

CTFSHOW-爆破-WEB21-28

CTFSHOW-爆破-WEB21-28

 

 

 

CTFSHOW-爆破-WEB21-28

 

有一个200的目录,打开发现flag

 

上一篇:CTFShow-Web入门-文件包含 78-


下一篇:ctfshow命令执行(50)与常见过滤的思考