题目链接:http://ctf5.shiyanbar.com/web/kzhan.php
开局根据提示,说明要抓包看看内容
随便填入一些数据,抓包发现cookie处有个hash值,以及source,尝试修改了source得到了如下回显的后台代码。
主要代码如下:
if (!empty($_COOKIE["getmein"])) {
if (urldecode($username) === "admin" && urldecode($password) != "admin") {
if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
echo "Congratulations! You are a registered user.\n";
die ("The flag is ". $flag);
}
else {
die ("Your cookies don't match up! STOP HACKING THIS SITE.");
}
}
那么也就是用户名必须是admin,而密码不能为admin,而且用户名与密码与SECRET经过md5加密后与cookie中的hash值(571580b26c65f306376d4f64e53cb5c7)一致;那么接下来要做的就是揭秘md5了,而secret是15长度的(回显代码头部给的提示),用户名admin是5长度的;所以代码中的 加密函数形如hash(
SECRET,
S
E
C
R
E
T
,
message)的情况,其中 hash 最常见的就是 md5、hash1。我们可以在不知道$SECRET的情况下推算出另外一个匹配的值;也就是哈希长度扩展攻击。
那么目前我们知道的信息是:
1.secrect也就是密文的长度为15。
2.Md5(serect,”adminadmin”)的哈希。
3.用户名为admin。
整理下我们知道的数据:
1.Serrect的长度为15,再加上第一个admin就是20。
2.哈希值为571580b26c65f306376d4f64e53cb5c7。
3.data为第二个admin。
4.add数据为任意。
利用hashpump网上有教程得到一个新的getmein,抓包写入即可得到flag