让我进去-实验吧

最新推荐文章于 2022-11-10 09:38:04 发布
最新推荐文章于 2022-11-10 09:38:04 发布
阅读量4.8k 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/80487417
版权

这题做的真的是久,莓办法,太菜了

进去看见cookie有个source值很奇怪,把他改成1试一下就收到这段代码

$flag = "XXXXXXXXXXXXXXXXXXXXXXX";
$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!

$username = $_POST["username"];
$password = $_POST["password"];

if (!empty($_COOKIE["getmein"])) {
    if (urldecode($username) === "admin" && urldecode($password) != "admin") {
        if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}

setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    if ($_COOKIE["source"] != 0) {
        echo ""; // This source code is outputted here
    }
}

看到了源代码就可以知道绕过条件了,username一定要是admin,password不能是admin,cookie要传一个getmein过去,然后这个getmein是由md5(secret,username,password)构造出来的,这里的secret不知道他的值是什么,只知道长度是15

那么问题来了,不知道secret的值怎么构造符合条件的getmein绕过,这里就涉及到哈希长度扩展攻击

我们传过去的字符串格式都是类似xxxxxxxxxxxxxxxadminadmin这样的,首先对他消息补位,满足字符位数%512==448,这里字符位数不足448,补够448就行了。

然后就是怎么补位了,首先后面加个1,然后一直加0,这里注意,下面的图片是十六进制的,二进制10000000就是十六进制的80好吧,因为是448bit,补到56byte就补完了,然后就是最开始的消息位数的补位,前面的字符是secret+admin+admin,一共25个字符,所以就是25*8=200 bit =c8 byte,所以第57位写上c8,再继续补到64byte,补完的图片是这样的

接下来就是计算信息摘要,大概原理就是有ABCD四个初始渐变量,还有上面的信息,每次都拿512bit的信息去计算,然后多次计算以后变量不停被覆盖,最后计算出的变量接在一起,再高低位互换得到最终的加密结果

顺便给出ABCD四个初始变量的值

A = 0x67542301;
B = 0xEFCDAB89;
C = 0x98BADCFE;
D = 0x10325476;

哈希长度扩展攻击

(可以看下这篇对它的解释https://github.com/iagox86/hash_extender

这里就是这道题最关键的了,我们不知道secret的值,但是它的位数,还有一个simple_hash,得到的哈希值就是最后一次摘要经过高低位互换的链变量,那么就是说,如果还有下一次的计算,用到的,就是现在的这个哈希值,先对现在的哈希值进行高低位互换,然后这题就可以构造一个前面为xxxxxxxxxxxxxxxadminadmin的大于64位的字符串,利用simple_hash,计算他的hash,就能做出来了。


没错,还是这张图,只是后面多了个fish,就是要构造的东西

这个时候,username=admin,password=admin\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x00\x00\x00\x00\x00\x00\x00fish

为什么少了前面的xxx和admin,因为原题是拼接了cookie和username嘛

但是还要再改一下,因为它会urldecode

所以最终的是

username=admin,password=admin%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%c8%00%00%00%00%00%00%00fish

然后hash怎么算呢

这里给出一个脚本

#include <stdio.h>
#include <openssl/md5.h>
#include <arpa/inet.h>
int main(int argc, const char *argv[]){
  int i;
  unsigned char buffer[MD5_DIGEST_LENGTH];
  MD5_CTX c;
  
  MD5_Init(&c);
  MD5_Update(&c,"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA",64);
  
  c.A = htonl(0x571580b2);
  c.B = htonl(0x6c65f306);
  c.C = htonl(0x376d4f64);
  c.D = htonl(0xe53cb5c7);
  
  MD5_Update(&c,"fish",4);
  MD5_Final(buffer,&c);
  for(i=0; i<16; i++){
    printf("%02x",buffer[i]);
  }
  printf("\n");
  printf("here is a fish!\n");
  return 0;
}

出来的结果


然后就是bp的抓包改包了


flag get√

Xi4or0uji
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
让我进去--实验
Gunther的博客
08-18 8609
http://www.shiyanbar.com/ctf/1848 让我进去 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题链接: http://ctf5.shiyanbar.com/web/kzhan.php 解: 你直接点击submit就会爆源码,或者把cookies里的source=0改为1刷新也可以爆源码如下
实验吧writeup Web方向
08-27
就是实验吧的一些writeup,,因缺思厅的绕过,让我进去,上传绕过, dvwa,简单的sql注入3
GET请求时url参数中含有#,+,=,%,&,/,?,空格等特殊字符,无法获得正确的参数值
cheng1a的博客
09-05 5374
但是在这过程中url参数中的特殊符号会被当做为url地址中的作用符,也就是参数会变成:user:张三 password:123 456 三个参数。我们原本想要请求的参数值是: user:张三# password:123&456。此时就是我们想要的参数结果了。
实验吧之让我进去
Au
05-11 2529
  http://ctf5.shiyanbar.com/web/kzhan.php    随便提交一些东西 没有回显  源代码没提示   直接bp       发现可疑的source  变成1看看  go   暴源码了 分析代码:的条件    首先判断cookie:getmein 是否为空  (我们从bp这里看是没有这个cookie的,需要自己构造) 接着判断 你提...
让我进去(CTF)
qq_22192367的博客
03-18 2194
题目链接:http://ctf5.shiyanbar.com/web/kzhan.php 开局根据提示,说明要抓包看看内容 随便填入一些数据,抓包发现cookie处有个hash值,以及source,尝试修改了source得到了如下回显的后台代码。 主要代码如下: if (!empty($_COOKIE["getmein"])) { if (urldecode($us...
STM32-RTC实时时钟实验.zip
最新发布
04-26
STM32_RTC实时时钟实验。 测试STM32的32.768KHZ的晶振是否工作正常,RTC时钟是正常运行。 功能路径: STM32_RTC...实现效果: 将代码下载进去之后,打开串口调试助手,波特率设置为115200,观察是否有时间打印出来。
实验报告5-16041321-黄继升1
08-08
1. 初始化:创建一个优先级队列,将源点s添加进去,所有其他节点的距离设为无穷大(表示尚未找到路径),并将它们加入未访问集合S。 2. 循环处理:从优先级队列中取出距离源点s最近的节点u(即队首元素),将其标记...
实验--文件系统及磁盘管理.docx
01-02
为了实现自动挂载,需要编辑`/etc/fstab`文件,将分区信息添加进去,系统启动时会自动挂载这些分区。 - **检查文件系统**:`fsck`命令用于检查文件系统的完整性。 2. **文件权限管理**: - **chmod命令**:用于...
shiyan.rar_进程调度实验
09-23
3. **上下文切换**:当一个进程被调度出来,另一个进程被调度进去时,会涉及CPU上下文的保存和恢复,这是进程调度的重要组成部分。 4. **模拟执行**:通过循环或事件驱动的方式模拟多个进程的执行,每次调度后更新...
实验-让我进去【salt加密 哈希长度拓展攻击】
Sp4rkW的博客
07-28 8704
原题内容: 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题链接:点这里 首先拿到题目,查看源代码,bp准备。源代码没问题,直接开始bp尝试key,两行直接admin,admin测试,通过bp可以看到以下内容: 自习看了一下bp得到的东西,set-cookies无疑是最容易注意到的东西,一般bp很少看到这个东西,这题有...
实验吧ctf-web-让我进去(Hash长度扩展攻击)
烟敛寒林的博客
04-22 2295
解题链接:http://ctf5.shiyanbar.com/web/kzhan.php 抓包: 尝试修改sourece值为1时,源码出现,如图: $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for secur...
[CTF]让我进去
胖胖的ALEX
06-26 810
类型:web 网址:http://www.shiyanbar.com/ctf/1848 攻击:hash长度扩展攻击 一句话总结: 哈希长度扩展攻击适用于加密情况为:hash($SECRET, $message)的情况,其中 hash 最常见的就是 md5、hash1。我们可以在不知道$SECRET的情况下推算出另外一个匹配的值。如: 我们知道md5($SECRET . strrev($_COOKI...
实验-让我进去
苟有恒,必有三更眠,五更起。
08-07 382
让我进去 原题链接 http://ctf5.shiyanbar.com/web/kzhan.php 分析 Burp 抓包发现,Cookie有东西。 先是把source=0改成source=1,得到源码,接下来就好办了。 开始审计: &lt;?php $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXX...
shiyanbar-pilot
qq_35661990的博客
11-29 166
很基础的栈溢出,先用checksec查看,什么保护都没开,基本就是用shellcode或者程序内直接有system之类的语句了 放到IDA中查看 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 v3; // rax __int64 v4; // rax __int64 v5; /...
C++常见十六进制数组转换char数组方法
手写不期而遇的博客
11-10 3800
C++在编写通讯协议解析过程中,通常需要对十六进制进行解析,经常用到位运算,同时结合unsigned char型数据或者char数组解析出自己想要的十进制数字,这里总结了一下常用的十六进制转换十进制或char数组的思路。
进制转换
cszhang
11-09 1971
1.   计算机进制转换二进制、八进制、十进制、十六进制互转     二进制的基数为 2,权为2^(2的N次方) 1=1 X 2º 10 = 1 X 2¹ 100= 1 x 2 ²   16进制   41(16进制)转换成 2 进制  01000001  4=0100     (1 x 2 ²) 1 = 0001 (1 X 2º) 4F (16进制)转换成
c语言与或非,单片机avr c语言位运算 与或非 异或逻辑 运算介绍 详解
weixin_32484447的博客
05-19 2963
位运算是指按二进制位进行的运算。在单片机中位运算通常用于I/O端口的输入输出控制和逻辑判断。C语言提供的位运算符有:运算符含义功能&按位与如果两个相应的二进制位都为1,则该位的结果值为1;否则为0。|按位或两个相应的二进制位中只要有一个为1,该位的结果值为1。∧按位异或若参加运算的两个二进制位同号则结果为0(假)异号则结果为1(真)~取反~是一个单目(元)运算符,用来对一个二进制数按位取反,即将0...
verilog 数字验证 实验
08-03
Verilog数字验证实验是一种基于硬件描述语言Verilog的实验,主要用于验证数字电路的设计是否满足所需功能和规范。 在这个实验中,我们使用Verilog语言编写数字电路的描述模型,然后使用模拟器或硬件开发平台来验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值