flag在管理员手里-hash长度扩展攻击学习

最新推荐文章于 2023-03-17 14:06:29 发布
最新推荐文章于 2023-03-17 14:06:29 发布
阅读量852 收藏
点赞数 1
分类专栏: ctf-web web攻防 文章标签: flag在管理员手里
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20307987/article/details/88844182
版权

Flag在管理员手里

主要是hash长度扩展攻击的原理,其实只要明白了md5算法的大致过程就可以容易理解。
首先题目看看要求什么条件才能获取flag

1.要求cookie中role=admin,这个简单,直接修改HTTP包内容就行。
2.要求hsh===MD5($salt.strrev($_COOKIE[“role”]))
  第二步中,salt是不知道的,但是hsh时我们传入,相当于已知的。所以这里要构造,让cookie中的role=admin,
  并且保证服务器在运算md5函数后,结果等于我们传入的hsh。    这就很清楚问题的所在了,如何在不知道salt
  的情况下,计算出一个特定的hash,对“特定”的解释就是:知道了hsh=md5($salt.strrev(';"tseug":5:s')),如何使
  得md5($salt.strrev(';{***padding}"nimda":5:s{***padding}'))=hsh1成立。

这时候就要看如何加padding了

我们先补充第一次salt+身份信息的长度,让他符合md5算的要求(64bit一组),服务器也是这么做的,只不过是服务器补足以后拿去运算,然后得到hash给我们返回hsh1。而我们补足信息后,在拼接上其他的信息,比如admin,服务器接收到以后,就会先进行和以前一样的运算,得到hsh1,然后用这个hsh1用作register,去加密下一个块(admin),然后就会计算出md5($salt+role)的值hsh2与我们传入的hsh比较。那么重点就在这里了,我们是知道hsh1的,本地也可以完成第二次hash计算,可以计算出hsh2,那么我们传入的hsh为hsh2不就过了验证吗!

辅助理解:
我们知道hash1(第一次服务器正常的身份信息),和admin(我们自己加上的嘛),那么我们做一次hash1和admin的MD5运算不就得到hash2了嘛。把hash2赋值给hsh,传入就满足了hsh=MD5(salt+role)

python有库hashpumpy实现了哈希长度扩展攻击:
Help on built-in function hashpump in module hashpumpy:
hashpump(…)
hashpump(hexdigest, original_data, data_to_add, key_length) -> (digest, message)
Arguments:
    hexdigest(str):      Hex-encoded result of hashing key + original_data.
    original_data(str):  Known data used to get the hash result hexdigest.
    data_to_add(str):    Data to append
    key_length(int):     Length of unknown data prepended to the hash

Returns:
    A tuple containing the new hex digest and the new message.

贴一段别人的脚本吧,我自己主要还是理解原理,这里salt的长度需要爆破一下

#!/usr/bin/python
# -*- coding=utf -*-
import requests,hashpumpy,urllib


def webre():
    url = 'http://web.jarvisoj.com:32778/'
    sha = '3a4727d57463f122833d9e732f94e4e0'
    string0 = ';"tseug":5:s'
    string1 = ';"nimda":5:s'
    for i in range(15):
        digest, message = hashpumpy.hashpump(sha,string0,string1,i)
        payload ={'role':urllib.quote(message[::-1]), 'hsh':digest}  # quote()用于把'\x00'都变成'%00' 这道题message需要反转一下
        print(i,payload) 
        html = requests.get(url,cookies=payload).content#提交答案 
        if 'Welcome' in html: 
            print(html)
webre()

参考链接

http://roo0.me/2017/07/01/WP-for-JarvisOJ/
https://blog.csdn.net/zpy1998zpy/article/details/80858080
https://www.freebuf.com/articles/web/69264.html
https://www.freebuf.com/articles/web/31756.html
https://www.jianshu.com/p/5342d07a6956

R_1v3r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ Jarvis OJ ] flag管理员手里Hash长度扩展攻击学习笔记
超人学飞的日子
06-29 2157
什么是hash算法及hash扩展攻击http://www.freebuf.com/articles/web/69264.htmlhttp://www.freebuf.com/articles/web/31756.html大部分教程都是直接告诉什么是hash扩展攻击,但都没讲为什么(对小白很不友好),其实理解了服务器准备干什么,更容易理解怎样攻击。这要从一道题目讲起:http://web.jarvi...
JarvisOJ WEB flag管理员手里
fr4granc3
02-18 1198
知识点 hash长度扩展攻击 深入理解hash长度扩展攻击(sha1为例) 0x01 扫描后台目录,发现index.php~,下载后打开,发现是乱码,文件头部是vim版本号。这其实是index.php的备份恢复文件,修改文件名为.index.php.swp,输入命令vim -r index.php得到恢复后的index.php。 源码如下: <!DOCTYPE html> <...
CTF实战26 CTF题目练习和讲解四
qq_53058639的博客
03-17 1898
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。最后网站开发知识多少也要了解点,不过别紧张,只是学习基础知识。
喝酒的艺术
方健的博客
07-02 1005
喝酒的艺术 (转载)     诀窍1 酒桌上虽然“感情深,一口闷;感情浅,舔一舔”但喝酒的时候决不能把这句话挂在嘴上。 诀窍2 韬光养晦,厚积薄发,切不可一上酒桌就充大。 诀窍3 领导相互喝完才轮到自己敬。 诀窍4 可以多人敬一人,决不可一人敬多人,除非你是领导。 诀窍5 自己敬别人,如果不碰杯,自己喝多少可视乎情况而定,比如对方酒量,对方喝酒态度,切不可比对方喝得少,要知道是自己敬人。
Dubbo学习踩坑记录
Darren的博客
01-13 210
1 服务无法注册到zookeeper 1.1 现象 在idea创建好服务,启动后在zookeeper客户端没有找到注册的服务。 1.2 原因 虚拟机没有关闭防火墙 1.3 解决方案 关闭防火墙即可。 systemctl stop firewalld 关闭防火墙服务 systemctl disable firewalld 禁止防火墙开机自启动 2 dubbo-admin部署到tomcat后,tomcat无法启动 2.1 现象 tomcat启动时,控制台报错: org.springframework.be
php-murmurhash:用于PHP扩展的MurmurHash函数
05-01
用于PHP扩展的MurmurHash函数。 要求 PHP 5.5。*〜PHP 5.6。* PHP 7.0。*〜PHP 7.2。* 安装 $ /path/to/phpize $ ./configure --with-php-config=/path/to/php-config $ make $ make test $ make install PHP功能...
NSString-Hash:NSString Hash扩展方法
05-10
NSString哈希 NSString类别,用于MD5,SHA1,SHA256,SHA512哈希和具有较小内存使用量的文件的哈希 NSString哈希方法 ...filePath.fileMD5Hash filePath.fileSHA1Hash filePath.fileSHA256Hash filePath.fil
comparaison.rar_hash_min-hash
07-13
**标题解析:** "comparaison.rar_hash_min-hash" 这个标题暗示了这是一个关于比较(comparaison)的...通过理解和应用这个代码,用户可以学习到如何利用min-hash算法解决实际问题,同时加深对哈希和数据处理的理解。
Python-DeepHash深度学习哈希的开源软件包DeepHash
08-09
文件"thulab-DeepHash-ed0bd28"很可能包含了DeepHash的源代码、模型配置文件、预训练模型以及相关的使用文档。用户可以通过这个文件包来安装、理解和使用DeepHash。在使用过程中,开发者可以调整模型参数,优化性能...
Windows下LM-Hash与NTLM-Hash
02-11
文档描述了Windows下LM HASH ,NTLM HASH生成原理和规则。 并利用Python脚本进行模拟。 详细描述了 挑战/响应模式(鉴权协议)的原理 详细描述了NTLM SMB通信流程 对内网渗透入门感兴趣的一定下载
求助,运行tomcat报错,实在不会了
weixin_44210250的博客
03-03 759
INFO context.ContextLoader - Root WebApplicationContext: initialization started INFO context.WebxComponentsContext - Refreshing Root WebApplicationContext: startup date [Tue Mar 03 14:45:22 CST 2020];...
Hash length extension attacks 分析
4ct10n
07-04 2560
0x00 MD5加密原理 0x1 字节填充 0x2 分组加密 0x3 实例演示 0x01 攻击原理 0x02 攻击脚本 0x1 md5 python 实现 0x2 计算脚本 0x03 实例演示 0x1 简单实例 0x2 jarvisoj flag管理员手里 方法一 利用hash_extender 方法二 利用上述脚本 0x3 admin step 1 初步审计 step 2 直接解密解法一 ste
获取管理员权限后,如何利用蚁剑得到flag
weixin_47346400的博客
09-14 2602
首先在rdctf部署一个地址 然后打开该界面并登录该网站的后门 mimawei:8618ahead (reverse) 在附件管理上传webshell.php文件并上传 然后打开该网站前台的文件
hash破解-hashcat
热门推荐
小刚的博客
05-13 1万+
hashcat破解hash自己搭建实验环境:1.了解hashcat2.了解JohnTheRipper3.了解zip试验步骤: 今天分享一个称之为世界上最快的密码破解工具hashcat 在渗透测试中我们经常会碰到一些加密处理的一串hash,有的在线的网站可能无法解密,我们就可以hashcat进行密码恢复。 今天使用JohnTheRipper中的zip2john.exe对加密zip获取哈希,使用h...
JAVA中浅复制与深复制
方健的博客
05-09 91
JAVA中浅复制与深复制 1.浅复制与深复制概念⑴浅复制(浅克隆)被复制对象的所有变量都含有与原来的对象相同的,而所有的对其他对象的引用仍然指向原来的对象。换言之,浅复制仅仅复制所考虑的对象,而不复制它所引用的对象。 ⑵深复制(深克隆)被复制对象的所有变量都含有与原来的对象相同的,除去那些引用其他对象的变量。那些引用其他对象的变量将指向被复制过的新对象,而不再是原有的那些被引用的对...
Java常见问题集锦
okdiy的专栏
10-27 541
问: 如何设置Java 2(JDK1.2)的环境变量?  答: Java 2安装后,需要设置PATH和JAVA_HOME环境变量.与JDK1.1不同的是:设置好JAVA_HOME环境变量后,JVM将自动搜索系统类库以及用户的当前路径.  Java 2环境变量的设置如下例所示:  Solaris平台: setenv JAVA_HOME Java2的安装路径  setenv PATH $JAVA_HO
【已解决】Error: unknown flag: --export
qq_39545674的博客
12-05 7350
k8s 中,执行 kubectl get deploy nginx -o=yaml --export > m2.yaml 报错 原因是 --export在所使用的版本中已经被去除了,将--export删除即可,改成: kubectl get deploy nginx -o=yaml > m2.yaml
【BUUCTF】[HCTF 2018]admin——一上手flag就出现让我有措手不及,意犹未尽
algae
05-05 431
选择login 输入admin/123 真的,就这样,结束了?? yep flag{4e012e7f-7aa1-4ebf-ace7-51f7d70ee36a}
ISCC 2019 Web2 (暴力破解过验证码)
qq_42777804的博客
05-08 2313
题目地址:http://39.100.83.188:8002 进入之后 发现 用户名 已经给了 只需要破解3位数数字密码即可 然后有一个验证码 则需要过这个验证码 打开burp 输入随机密码 和验证码 然后进行抓包 成功后 send to intruder 只需要 将pwd 填上 即可 但是有一个重点 将Cookie 和 user_co...
CBC-Hash与CFB-Hash的相似与区别
最新发布
07-11
CBC-Hash(Cipher Block Chaining Hash)和CFB-Hash(Cipher Feedback Hash)是两种基于对称加密算法的哈希函数构造方法,它们有一些相似之处,但也有一些区别。 相似之处: 1. 基于对称加密算法:CBC-Hash和CFB-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值