JarvisOJ WEB flag在管理员手里

最新推荐文章于 2024-05-02 18:56:51 发布

dr0s3

最新推荐文章于 2024-05-02 18:56:51 发布

阅读量1.2k

点赞数 1

分类专栏：其他文章标签： JarvisOJ WEB flag在管理员手里

本文链接：https://blog.csdn.net/qq1045553189/article/details/87566846

版权

其他专栏收录该内容

16 篇文章 0 订阅

订阅专栏

知识点

hash长度扩展攻击
深入理解hash长度扩展攻击（sha1为例）

0x01

扫描后台目录，发现index.php~，下载后打开，发现是乱码，文件头部是vim版本号。这其实是index.php的备份恢复文件，修改文件名为.index.php.swp，输入命令vim -r index.php得到恢复后的index.php。
在这里插入图片描述
源码如下：

<!DOCTYPE html>
<html>
<head>
<title>Web 350</title>
<style type="text/css">
	body {
		background:gray;
		text-align:center;
	}
</style>
</head>

<body>
	<?php 
		$auth = false;
		$role = "guest";
		$salt = 
		if (isset($_COOKIE["role"])) {
			$role = unserialize($_COOKIE["role"]);
			$hsh = $_COOKIE["hsh"];
			if ($role==="admin" && $hsh === md5($salt.strrev($_COOKIE["role"]))) {
				$auth = true;
			} else {
				$auth = false;
			}
		} else {
			$s = serialize($role);
			setcookie('role',$s);
			$hsh = md5($salt.strrev($s));
			setcookie('hsh',$hsh);
		}
		if ($auth) {
			echo "<h3>Welcome Admin. Your flag is 
		} else {
			echo "<h3>Only Admin can see the flag!!</h3>";
		}
	?>
	
</body>
</html>

0x02

解题步骤：

访问网页，得到cookie中的role和hsh这里的hsh是$slat+;"tseug":5:s经过md5加密后的值；
设置cookie中role的值，满足以下两个条件：

$role==="admin" && $hsh === md5($salt.strrev($_COOKIE["role"]))

第一个条件$role==="admin"只需要使$role参数的前5个字符是"admin"，第六个字符是'\0'即可。
第二个条件$hsh === md5($salt.strrev($_COOKIE["role"]))，注意和$salt连接的字符串是经过strrev函数处理的role参数，只需要构造role参数的后半部分，通过hash长度扩展攻击，经过运算得到新的hsh即可。$salt的长度暂时不知道，暂时输入一个数字10，得到新的hash值fcdc3840332555511c4e4323f6decb07以及一个接近payload的字符串;"tseug":5:s\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb0\x00\x00\x00\x00\x00\x00\x00;"nimda":5:s。\xb0说明$salt+;"tseug":5:s一共176bit，也就是22字节，$salt长假设是10字节。
在这里插入图片描述
安装hashpump：

git clone https://github.com/bwall/HashPump
apt-get install g++ libssl-dev
cd HashPump
make
make install

0x03

;"tseug":5:s\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\x00\x00\x00\x00\x00\x00\x00;"nimda":5:s

将上述字符串中的\x替换成%，;替换成%3b，倒序排列，得到：

s:5:"admin"%3b%00%00%00%00%00%00%00%c0%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%80s:5:"guest"%3b

使用burpsuite爆破salt的长度，得到flag：
在这里插入图片描述

PS

只有salt在前，value在后，才可以用hash长度扩展攻击。

dr0s3

关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
JarvisOJ WEB flag在管理员手里

知识点hash长度扩展攻击深入理解hash长度扩展攻击（sha1为例） 0x01扫描后台目录，发现index.php~，下载后打开，发现是乱码，文件头部是vim版本号。这其实是index.php的备份恢复文件，修改文件名为.index.php.swp，输入命令vim -r index.php得到恢复后的index.php。源码如下：&amp;lt;!DOCTYPE html&amp;gt;&amp;lt;...
复制链接

扫一扫