hackinglab解密关

最新推荐文章于 2023-06-18 15:52:51 发布
最新推荐文章于 2023-06-18 15:52:51 发布
阅读量2.3k 收藏 8
点赞数 1
分类专栏: Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s0mor/article/details/102969444
版权

1. 以管理员身份登录系统

在这里插入图片描述
在重置密码成功页面获得Tips
在这里插入图片描述

看链接

/reset.php?sukey=79804c0ea4d2a961fbfd2cff08664098&username=123

GET提交的参数中,sukey应该是验证,username提交要重置密码的账户名

对sukey进行md5解密

在这里插入图片描述
是unix时间戳
在这里插入图片描述
可能是你向服务器提交重置username密码的请求,服务器会给你一个sukey,并且会记录下sukey和username的值。当点击包含sukey和username参数的重置链接后,服务器会接收sukey和username,然后和服务器记录的进行匹配,当username和sukey都符合后,重置密码成功。

接下来就可以伪造sukey重置admin了

大致思路:

sukey=md5(int(time()))

先抓个包看看服务器时间

在这里插入图片描述
发现比北京时间慢了八个小时,转成时间戳就是慢了28800

方法一:

在重置密码界面输入账户名admin,点击提交,并且记住提交时刻的时间戳x

x-28800进行md5加密,得到重置admin账户的sukey

将重置链接的sukey和username进行替换,重置admin

方法二:

脚本:

import requests
import hashlib
import time

se = requests.session()
headers = {'Cookie': 'PHPSESSID=423613048c7ae8017f654bea6fafe808'}

while 1:
    sukey = hashlib.new('md5', str(int(time.time())-28800)).hexdigest()
    url = 'http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/reset.php?sukey=' + sukey + '&username=admin'
    r = se.get(url, headers=headers)

    if r.content:
        print r.content
        break
    else:
        print 'Cracking: ' + sukey
方法三:

先提交admin重置请求,再写脚本生成对应的时间戳字典

with open("pass.txt","w") as f:
    for x in range(1573180000,1573200000):     #大概的时间戳范围
        f.write("%d\n" % x)

抓包,点击重置连接,发送到intruder,将username改为admin,设置sukey为变量

在这里插入图片描述
payload设置载入字典pass.txt,设置hash md5加密

在这里插入图片描述
在这里插入图片描述
爆破,根据返回包长度判断是否爆破成功

2. 邂逅对门的妹纸

在这里插入图片描述
下载得到一个wifi-crack.cap包,提示信息中:“小明知道妹纸今年(2014年)上大三”猜测wifi密码可能是生日格式
写脚本生成一个字典dic.txt:

with open("dic.txt","w") as f:
    for year in range(1990,2014):
        for month in range(1,12):
            for day in range(1,32):
                f.write("%d%02d%02d\n" % (year,month,day))

在这里插入图片描述
上aircrack-ng

在这里插入图片描述

在这里插入图片描述
找到密码,直接32位md5小写加密,提交

3. 万恶的Cisco

在这里插入图片描述
找到个在线cisco交换机密码破解:Cisco Password Cracker

在这里插入图片描述

4. 万恶的加密

提示是某huawei/h3c交换机密码,搜了搜是DES加密,找到一个脚本:

# coding=utf-8

from Crypto.Cipher import DES

def decode_char(c):
    if c == 'a':
        r = '?'
    else:
        r = c
    return ord(r) - ord('!')

def ascii_to_binary(s):
    assert len(s) == 24
    out = [0]*18
    i = 0
    j = 0
    
    for i in range(0, len(s), 4):
        y = decode_char(s[i + 0])
        y = (y << 6) & 0xffffff
        k = decode_char(s[i + 1])

        y = (y | k) & 0xffffff
        y = (y << 6) & 0xffffff
        k = decode_char(s[i + 2])

        y = (y | k) & 0xffffff
        y = (y << 6) & 0xffffff
        k = decode_char(s[i + 3])
        y = (y | k) & 0xffffff

        out[j+2] = chr(y & 0xff)
        out[j+1] = chr((y>>8) & 0xff)
        out[j+0] = chr((y>>16) & 0xff)

        j += 3
    return "".join(out)

def decrypt_password(p):
    r = ascii_to_binary(p)
    r = r[:16]
    d = DES.new("\x01\x02\x03\x04\x05\x06\x07\x08", DES.MODE_ECB)
    r = d.decrypt(r)
    return r.rstrip("\x00")

if __name__ == '__main__':
    miwen = "aK9Q4I)J'#[Q=^Q`MAF4<1!!"
    print u'明文' + decrypt_password(miwen)

直接运行
在这里插入图片描述

5. 喜欢泡网吧的小明

在这里插入图片描述

修复dump文件一个字节的错误,并且把卡金额改为200就好了

winhex打开dump文件,看了看基本是前面几行有意义,后面都是重复的字节

在这里插入图片描述

先修复字节错误,看了提示,错误出现在第一行,文件头应该有始有终,测试后发现是将第一个AA改为8A

在这里插入图片描述
修改金额:将100的十六进制是64,在dump文件里没有找到

不过根据刷卡页面,金额用100.00来表示,发现10000的十六进制是2710

在这里插入图片描述
20000(D)->4e20(H)

所以将两个1027改成204e就好

6. 异常数据

在这里插入图片描述
妹纸给了一个谜语序列:AGV5IULSB3ZLVSE=
乍一看就是base64加密,但是直接解不出来
题目说的是异常数据,看了看,全是大写,应该是把大小写都给转成大写了
用脚本

# coding=utf-8

from base64 import *
import re

def dfs(res, arr, pos):
    res.append(''.join(arr))
    i = pos
    for i in range(i, len(arr)):
        if arr[i] <= 'Z' and arr[i] >= 'A':
            arr[i] = arr[i].lower()
            dfs(res, arr, i + 1)
            arr[i] = arr[i].upper()

arr = list('AGV5IULSB3ZLVSE=')
res = []

dfs(res, arr, 0)

res_decode = map(b64decode, res)

for i in res_decode:
    if re.findall(r'\\x', repr(i)):
        continue
    else:
        print i

在这里插入图片描述
就这句看着正常点,key应该就是它了

7. md5真的能碰撞嘛?

在这里插入图片描述
在这里插入图片描述
$rootadmin="!1793422703!";

!1793422703!进行md5加密:

0e332932043729729062996282883873

用到了PHP处理0e开头的md5哈希字符串时的一个漏洞

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

所以只要POST提交password的值经过md5加密后是0e开头就行
在这里插入图片描述

8. 小明爱上了一个搞硬件的小姑凉

在这里插入图片描述
下载文件,用notepad打开看看
在这里插入图片描述
这应该就是Tips中的某逻辑分析仪

搜搜Saleae Async Serial Analyzer,下载,打开

把未知文件拖进去

在这里插入图片描述

但是这个COMMA夹在中间怪怪的,像极了电灯泡

搜搜

在这里插入图片描述

9. 有签名限制的读取任意文件

在这里插入图片描述
MD5长度扩展攻击
看的WriteUP
Payload:

http://lab1.xseclab.com/decrypt1_53a52adb49c55c8daa5c8ee0ff59befe/md5_le.php?filepath=/etc/hosts%80%00%00%00%00%00%00%00%00%00%00%00%00%00P%01%00%00%00%00%00%00/etc/_flag.php&sign=7fbbac6efeb7939be04829bc9a847f0c

10. 美丽的邂逅与密码器的开门密码

在这里插入图片描述
下载得到一个exe文件,先运行一下
在这里插入图片描述
提示输入Key

用IDA打开,找到main()主函数,F5生成伪代码

在这里插入图片描述
可以看到v19变量用来接收输入,当v18 == 1时会输出一串字符串,否则输出Error。这些字符串应该就是Flag了

方法一:

最简单粗暴的方法是将v1v16的值进行ASCII解码,就是对应的Flag

方法二:

跟进sub_401005()函数
在这里插入图片描述
又调用了sub_401020()函数,继续跟进

在这里插入图片描述

这个函数获取了传入的参数a1的长度,如果长度大于50就返回1(true)。
所以只需要输入的字符串长度大于50就行了

在这里插入图片描述

s0mor
关注
专栏目录
hackinglab-解密1——以管理员身份登录系统
Ifish的博客
07-28 2790
以管理员身份登录系统 题目描述 解题思路 1、点开题,把功能试了试,根据题目提示,应该和登录页面无 2、抓包,看到重置密码的链接中有2个参数,基本上就确定是伪造admin重置密码的链接,发送这个链接重置管理员密码 3、改了username,发现还是不行,那就应该是改sukey 4、sukey像是MD5加密过的字符串,解密 这是个啥,好吧,我研究了...
hackinglab-解密2——邂逅对门的妹纸
Ifish的博客
07-28 1351
邂逅对门的妹纸 题目描述 解题思路 1、又一个wifi握手包,上EWSA 2、提示说,今年2014年,上大三,大概是19-21岁,出生年份应该就是1993、1994、1995,密码应该就是出生年月日 3、生成字典 4、在EWSA中导入字典和wifi-crack.cap 5、禁用密码变换选项 7、点击开始测试,得到正确密码 8、将得到的密码,m...
Hackinglab(鹰眼)——解密
最新发布
计算机硕士的博客
06-18 714
Hackinglab(鹰眼)——解密(详细版),包括了做题思路和详细步骤。 以管理员身份登录系统、邂逅对门的妹纸、万恶的Cisco、万恶的加密、异常数据、md5真的能碰撞嘛、小明爱上了一个搞硬件的小姑凉、有签名限制的读取任意文件、美丽的邂逅与密码器的开门密码
hakcinglab解密WP
Yale的博客
04-07 1357
解密(https://zhuanlan.zhihu.com/p/21740238) 1.以管理员身份登录系统 重置密码时用burp抓包,返回包的内容注意 有一个sukey,和username连在一起,sukey试着md5解密,发现是时间戳 知道了原理,跑个python就可以了 import requests import hashlib import time
[hackinglab][CTF][解密][2020] hackinglab 解密 writeup
dadongwudi的博客
01-18 297
咕咕咕 暂时发现写得最好的 参考链接:https://blog.csdn.net/s0mor/article/details/102969444
hackinglab基础教程
全村的希望
07-12 786
基础一 题目地址点击这里 题目: 解题思路: 鼠标右键,看网页注释得到flag 基础二 题目: > 再加密一次你就得到key啦~ 分值: 150 加密之后的数据为xrlvf23xfqwsxsqf 解题思路:这道题考察密码学 凯撒密码位移十三位可得flag ===》解密网站 基础三 题目: 解题思路:编码过的数据最后有等号 判断为base64编码 只需要解码解码在解码即可【博主解码了24次】 **题目答案:**key is jkljdkl232jkljkdl2389 基础四 题目: 据
网络信息安全攻防学习平台-基础
crazyyangrong的博客
11-06 4741
网络信息安全攻防学习平台-基础 游戏地址【http://hackinglab.cn/ShowQues.php?type=bases】 第一题 key在哪里? 这类题时最简单的,一般只需在浏览器内打开开发者选项(键盘F12)即可。 第二题 此题加密方法为rot13,百度rot13在线解密即可得到key 第三题 我们看到此题的密文以符号结尾,判断其为base64加密后的密文,复制密文到百度在线解...
网络信息安全攻防学习平台基础
MVP_com的博客
09-09 5629
游戏地址:http://hackinglab.cn/index.php 网络信息安全攻防学习平台基础
hackinglab-解密6——异常数据
Ifish的博客
07-28 588
异常数据 题目描述 解题思路 1、base64解密,发现乱码 2、之前有做过相似的题,base64一般不会只有大写字母,所以需要把被大写的小写字母改回来,这么多情况,就写脚本跑就行了,解密得 ...
hackinglab-解密4——万恶的加密
Ifish的博客
07-28 1432
万恶的加密 题目描述 解题思路 本题就是考huawei/h3c交换机的密文解密,之前有大佬已经给过一个脚本,直接跑一下,就得到答案 脚本网址:https://raw.githubusercontent.com/grutz/h3c-pt-tools/master/hh3c_cipher.py...
hackinglab-解密5——喜欢泡网吧的小明
Ifish的博客
07-28 1354
喜欢泡网吧的小明 题目描述 解题思路 1、打开链接 题目给了dump文件,再刷卡机里打开dump文件,报错 2、用winhex打开文件,题目提示说不小心产生一个字节的错误,基本上就应该是修改文件头,文件头一般有头有尾,8-16位,所以不是把AA改成8A就是把8A改成AA 3、发现改成8A以后,显示正常 4、接下来需要把修改余额 再次观察文件,发现文件中...
网络信息安全学习平台---解密第5题
幽狼传说
07-06 1813
网络信息安全学习平台网址:http://hackinglab.cn/ 题目 小明特别喜欢泡网吧,而这个月小明拿到了他第一个月的薪水,于是这次到了他平时最常去的网吧充了100元办理了一张会员卡,于是乎小明再也不用花钱上网了。 根据题目描述,小明的上网卡错了一位 首先将当下的数据不做改动,进行刷卡,显示卡片异常。说明,卡片的头信息错误。一般的卡片的头信息应该是前8~16个字节。 头信息应该有
hackinglab-脚本9——逗比的手机验证码
Ifish的博客
07-31 918
逗比的手机验证码 题目描述 解题思路 1、打开网页, 2、获取手机验证码 报错 3、那就把默认的手机号改成1338888667 发现提示验证码发到别人手机上了,那就先获得验证码,然后在提交的时候把手机号再改成1338888667 点击提交 4、得到key 不知道考查点是啥...
hackinglab-基础4——据说MD5加密很安全,真的是么?
Ifish的博客
07-27 991
据说MD5加密很安全,真的是么? 题目描述: 解题思路: MD5
靶场练习之hackinglab(鹰眼)-解密
快乐时光
05-25 1011
1、以管理员身份登录系统 根据题目的提醒,只要将admin用户进行重置密码即可。访问:http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/index.php,进入登录页面,登陆页面有重新设置密码链接:http://lab1.xseclab.com/password1_dc178aa12e73cfc184676a4100e07dac/resetpassword.php。访问该链接进入重设密码页面,输入test(普通用户..
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础1.key在哪里? 过地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
hackinglab 脚本 writeup
xaphoenix的博客
05-28 3202
key又又找不到了先点开通地址 之后点击这个链接,拦截它的response,可以得到key 快速口算写个脚本就行了。利用正则来提取相信息。import requests import re url = 'http://lab1.xseclab.com/xss2_0d557e6d2a4ac08b749b61473a075be1/index.php' header = {'Cookie':
图文:2010中国计算机网络安全年会安天实验室展台
weixin_34269583的博客
09-24 135
2010中国计算机网络安全年会定于2010年9月12日-9月15日在北京国家会议中心召开,以“对话、合作、联动——共筑网络安全”作为主题,本次会议旨在更好地介绍我国在网络安全方面的努力及成果,切实推动网络安全国际交流与合作。东软、启明星辰、安天实验室、华为、国家互联网应急中心等参与了本次会议。下面是安天实验室展台。   2010中国计算机网络安全年会安天实验室展台 ...
一次美丽的邂逅
wangguoguo44的专栏
06-15 336
  那是二00六年的秋收之后,我从家乡到上海去,乘坐从西安开往上海的火车。当时正值民工潮的高峰,广场上早已挤满了人,候车室里更是水泄不通,人有一种被密闭起来的感觉,焦急、期盼、忍耐、慌乱的心情五味杂陈,七上八下。终于等到火车开来了,人们象开了闸的潮水,哗啦啦奔出去,又在车厢的门口拥堵得象寒冷冬天里的小鸡扎堆。呵斥声、呼叫声、夫妻爷娘呼唤声,一霎时象开了锅的水,沸腾不息。我是几个身强力壮的同乡硬推上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值