让我进去-实验吧

最新推荐文章于 2020-06-01 15:44:44 发布
最新推荐文章于 2020-06-01 15:44:44 发布
阅读量4.8k 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/80487417
版权

这题做的真的是久,莓办法,太菜了

进去看见cookie有个source值很奇怪,把他改成1试一下就收到这段代码

$flag = "XXXXXXXXXXXXXXXXXXXXXXX";
$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!

$username = $_POST["username"];
$password = $_POST["password"];

if (!empty($_COOKIE["getmein"])) {
    if (urldecode($username) === "admin" && urldecode($password) != "admin") {
        if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}

setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    if ($_COOKIE["source"] != 0) {
        echo ""; // This source code is outputted here
    }
}

看到了源代码就可以知道绕过条件了,username一定要是admin,password不能是admin,cookie要传一个getmein过去,然后这个getmein是由md5(secret,username,password)构造出来的,这里的secret不知道他的值是什么,只知道长度是15

那么问题来了,不知道secret的值怎么构造符合条件的getmein绕过,这里就涉及到哈希长度扩展攻击

我们传过去的字符串格式都是类似xxxxxxxxxxxxxxxadminadmin这样的,首先对他消息补位,满足字符位数%512==448,这里字符位数不足448,补够448就行了。

然后就是怎么补位了,首先后面加个1,然后一直加0,这里注意,下面的图片是十六进制的,二进制10000000就是十六进制的80好吧,因为是448bit,补到56byte就补完了,然后就是最开始的消息位数的补位,前面的字符是secret+admin+admin,一共25个字符,所以就是25*8=200 bit =c8 byte,所以第57位写上c8,再继续补到64byte,补完的图片是这样的

接下来就是计算信息摘要,大概原理就是有ABCD四个初始渐变量,还有上面的信息,每次都拿512bit的信息去计算,然后多次计算以后变量不停被覆盖,最后计算出的变量接在一起,再高低位互换得到最终的加密结果

顺便给出ABCD四个初始变量的值

A = 0x67542301;
B = 0xEFCDAB89;
C = 0x98BADCFE;
D = 0x10325476;

哈希长度扩展攻击

(可以看下这篇对它的解释https://github.com/iagox86/hash_extender

这里就是这道题最关键的了,我们不知道secret的值,但是它的位数,还有一个simple_hash,得到的哈希值就是最后一次摘要经过高低位互换的链变量,那么就是说,如果还有下一次的计算,用到的,就是现在的这个哈希值,先对现在的哈希值进行高低位互换,然后这题就可以构造一个前面为xxxxxxxxxxxxxxxadminadmin的大于64位的字符串,利用simple_hash,计算他的hash,就能做出来了。


没错,还是这张图,只是后面多了个fish,就是要构造的东西

这个时候,username=admin,password=admin\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x00\x00\x00\x00\x00\x00\x00fish

为什么少了前面的xxx和admin,因为原题是拼接了cookie和username嘛

但是还要再改一下,因为它会urldecode

所以最终的是

username=admin,password=admin%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%c8%00%00%00%00%00%00%00fish

然后hash怎么算呢

这里给出一个脚本

#include <stdio.h>
#include <openssl/md5.h>
#include <arpa/inet.h>
int main(int argc, const char *argv[]){
  int i;
  unsigned char buffer[MD5_DIGEST_LENGTH];
  MD5_CTX c;
  
  MD5_Init(&c);
  MD5_Update(&c,"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA",64);
  
  c.A = htonl(0x571580b2);
  c.B = htonl(0x6c65f306);
  c.C = htonl(0x376d4f64);
  c.D = htonl(0xe53cb5c7);
  
  MD5_Update(&c,"fish",4);
  MD5_Final(buffer,&c);
  for(i=0; i<16; i++){
    printf("%02x",buffer[i]);
  }
  printf("\n");
  printf("here is a fish!\n");
  return 0;
}

出来的结果


然后就是bp的抓包改包了


flag get√

Xi4or0uji
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验吧writeup Web方向
08-27
就是实验吧的一些writeup,,因缺思厅的绕过,让我进去,上传绕过, dvwa,简单的sql注入3
GET请求时url参数中含有#,+,=,%,&,/,?,空格等特殊字符,无法获得正确的参数值
cheng1a的博客
09-05 5376
但是在这过程中url参数中的特殊符号会被当做为url地址中的作用符,也就是参数会变成:user:张三 password:123 456 三个参数。我们原本想要请求的参数值是: user:张三# password:123&456。此时就是我们想要的参数结果了。
让我进去--实验
Gunther的博客
08-18 8611
http://www.shiyanbar.com/ctf/1848 让我进去 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题链接: http://ctf5.shiyanbar.com/web/kzhan.php 解: 你直接点击submit就会爆源码,或者把cookies里的source=0改为1刷新也可以爆源码如下
计算机系统数位与进制转换
qq_39899164的博客
06-01 1070
计算机系统数位与进制 数制是用一组固定的符号和统一的规则来表示数值的方法,计算机底层使用的数制是二进制,用Java编程使用的是进制,但Java底层仍使用二进制。 十进制 十进制的基本数字0~9,逢十进位 10称为”基数”,权为10^n,(10的n次方) 二进制 二进制的基本数字是0,1,逢2进位 二进制的基数为2,2^n(2的n次方) 1=1×2^0 10=1×2^1 100=1×2^2 1000=1×2^3 10000=1×2^4 100000=1×2^5 1000000=1×2^6 1000000
实验吧-让我进去【salt加密 哈希长度拓展攻击】
Sp4rkW的博客
07-28 8707
原题内容: 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题链接:点这里 首先拿到题目,查看源代码,bp准备。源代码没问题,直接开始bp尝试key,两行直接admin,admin测试,通过bp可以看到以下内容: 自习看了一下bp得到的东西,set-cookies无疑是最容易注意到的东西,一般bp很少看到这个东西,这题有...
STM32-RTC实时时钟实验.zip
最新发布
04-26
STM32_RTC实时时钟实验。 测试STM32的32.768KHZ的晶振是否工作正常,RTC时钟是正常运行。 功能路径: STM32_RTC...实现效果: 将代码下载进去之后,打开串口调试助手,波特率设置为115200,观察是否有时间打印出来。
实验报告5-16041321-黄继升1
08-08
1. 初始化:创建一个优先级队列,将源点s添加进去,所有其他节点的距离设为无穷大(表示尚未找到路径),并将它们加入未访问集合S。 2. 循环处理:从优先级队列中取出距离源点s最近的节点u(即队首元素),将其标记...
实验二--文件系统及磁盘管理.docx
01-02
为了实现自动挂载,需要编辑`/etc/fstab`文件,将分区信息添加进去,系统启动时会自动挂载这些分区。 - **检查文件系统**:`fsck`命令用于检查文件系统的完整性。 2. **文件权限管理**: - **chmod命令**:用于...
shiyan.rar_进程调度实验
09-23
3. **上下文切换**:当一个进程被调度出来,另一个进程被调度进去时,会涉及CPU上下文的保存和恢复,这是进程调度的重要组成部分。 4. **模拟执行**:通过循环或事件驱动的方式模拟多个进程的执行,每次调度后更新...
操作系统实验 分页式存储管理
06-20
这时,操作系统会根据页表找到合适的空闲页框,将所需页加载进去,并更新页表。如果内存已满,可能需要通过页面替换算法(如最佳替换、最近最少使用、最久未使用等)选择一个页进行淘汰,腾出空间给新页。 在实际...
深圳华清远见文件系统实验-最终
04-06
深圳华清远见文件系统实验-最终
Project--Properties--Java
03-10
实验经验: 1、安装JDK和Eclipse 网上很多资料,此处不多说。 关于JDK版本,没有找到相关说明,下载较新版本即可,如JDK1.6就可以。 Eclipse最新有一个Helios(太阳神)版。 2、示例(PeerSim的"hello world") (1...
mkdocs-rc-docs:使用mkdocs生成实验研究计算文档
04-21
文档,在降价格式,进去./mkdocs-project-dir在MkDocs喜欢,用的具体布置mkdocs.yml配置文件等等。 当有人推送到存储库时: GitHub Actions运行./builder/deploy.sh脚本,该脚本: 将gh-pages分支out到名为out的...
unity3d实验报告.docx
12-26
给小人和球之间加碰撞代码的时候,好几次加进去小人就是不踢球,后来不知道改了什么就好了。 四、 Unity 3D 相关知识点 1. Unity 3D 软件操作界面简介 2. Unity 3D 地形编辑技巧 3. Unity 3D 光源添加和设置方法 4...
实验吧之让我进去
Au
05-11 2529
  http://ctf5.shiyanbar.com/web/kzhan.php    随便提交一些东西 没有回显  源代码没提示   直接bp       发现可疑的source  变成1看看  go   暴源码了 分析代码:的条件    首先判断cookie:getmein 是否为空  (我们从bp这里看是没有这个cookie的,需要自己构造) 接着判断 你提...
让我进去(CTF)
qq_22192367的博客
03-18 2194
题目链接:http://ctf5.shiyanbar.com/web/kzhan.php 开局根据提示,说明要抓包看看内容 随便填入一些数据,抓包发现cookie处有个hash值,以及source,尝试修改了source得到了如下回显的后台代码。 主要代码如下: if (!empty($_COOKIE["getmein"])) { if (urldecode($us...
实验吧-让我进去
苟有恒,必有三更眠,五更起。
08-07 382
让我进去 原题链接 http://ctf5.shiyanbar.com/web/kzhan.php 分析 Burp 抓包发现,Cookie有东西。 先是把source=0改成source=1,得到源码,接下来就好办了。 开始审计: &lt;?php $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXX...
实验吧ctf-web-让我进去(Hash长度扩展攻击)
烟敛寒林的博客
04-22 2298
解题链接:http://ctf5.shiyanbar.com/web/kzhan.php 抓包: 尝试修改sourece值为1时,源码出现,如图: $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for secur...
verilog 数字验证 实验
08-03
Verilog数字验证实验是一种基于硬件描述语言Verilog的实验,主要用于验证数字电路的设计是否满足所需功能和规范。 在这个实验中,我们使用Verilog语言编写数字电路的描述模型,然后使用模拟器或硬件开发平台来验证这个模型的正确性。 实验过程一般包括以下步骤: 1. 首先,我们需要确定数字电路的功能要求和规范,例如输入信号的位宽、输出信号的位宽、时钟频率等。这些要求和规范是实验的基础。 2. 接下来,我们使用Verilog语言编写数字电路的描述模型。这个模型包括模块、端口、信号和逻辑实现。我们需要确保模型的逻辑实现与我们设计的数字电路一致。 3. 然后,我们使用Verilog仿真器或硬件开发平台,将数字电路的描述模型加载进去,并提供一组测试向量作为输入信号。 4. 在仿真或硬件平台上运行测试向量,观察输出信号是否符合我们的预期。如果输出信号与预期一致,则说明数字电路的设计是正确的。 5. 如果输出信号与预期不一致,我们需要检查模型的逻辑实现,查找可能存在的错误,并对模型进行调试和修复。 通过多次进行上述实验,我们可以逐步改进数字电路的设计,确保其功能和性能达到要求。 总的来说,Verilog数字验证实验是一种验证数字电路设计的方法,通过Verilog语言编写描述模型,并使用仿真器或硬件平台进行验证,以确保数字电路的正确性。这种实验方法在数字电路设计和验证中起着重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值