ctfshow【从0开始学web】系列21-28 爆破
web21
爆破什么的,都是基操
解码发现是base64加密的,解码后添加好§
再设置有效载荷
Payload set ---->custom iterator(自定义迭代器)------>position 3------>输入字典
自定义迭代器可以自定义拼接方式,position的位置即为我们的拼接方式,根据上述base64解码的tomcat密码的格式:用户名:密码 ----->则position的位数为3
Position1
Position2
Position3
拼接好后进行base64编码
取消Palyload Encoding编码
然后开始爆破
web22
域名也可以爆破的,试试爆破这个ctf.show的子域名
http://flag.ctfer.com/index.php
web23
还爆破?这么多代码,告辞!
<?php
error_reporting(0);
$a="asdfghjklqwertyuiopzxcvbnm1234567890";
for($i=0;$i<36;$i++){
for($j=0;$j<36;$j++){
$token=$a[$i].$a[$j];
$token = md5($token);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $a[$i].$a[$j];
exit(0);
}
}
}
}
?>
查看源代码发现我们需要get一个token满足条件就可以出flag
写一个程序生成这个token
<?php
error_reporting(0);
$a="qwertyuiopasdfghjklzxcvbnm0123456789";
for($i=0;$i<36;$i++){
for($j=0;$j<36;$j++){
$token=$a[$i].$a[$j];
$token = md5($token);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $a[$i].$a[$j];
exit(0);
}
}
}
}
?>
运行得到3j ,payload: ?token=3j
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ykEe69lE-1633599482188)(C:\Users\86177\AppData\Roaming\Typora\typora-user-images\image-20211007144214677.png)]
web24
爆个🔨
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:26:39
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 13:53:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(372619038);
if(intval($r)===intval(mt_rand())){
echo $flag;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
?>
给了源码,get传入r 这个参数经过伪随机数种子生成的数
mt_scrand(seed)这个函数的意思,是通过分发seed种子,然后种子有了后,靠mt_rand()生成随机 数。 提示:从 PHP 4.2.0 开始,随机数生成器自动播种,因此没有必要使用该函数 因此不需要播种,并且如果设置了 seed参数 生成的随机数就是伪随机数,意思就是每次生成的随机数 是一样的
php脚本跑一下:
<?php
mt_srand(372619038);
echo(mt_tand());
?>
然后传入参数 ?r=1155388967 拿到flag,不知道为什么自己的php运行结果不一样,是php的版本问题吗
web25
爆个🔨,``不爆了
https://www.cnblogs.com/zaqzzz/p/9997855.html
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:56:57
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(hexdec(substr(md5($flag), 0,8)));
$rand = intval($r)-intval(mt_rand());
if((!$rand)){
if($_COOKIE['token']==(mt_rand()+mt_rand())){
echo $flag;
}
}else{
echo $rand;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
下载php_mt_seed-PHP mt_rand()种子破解程序https://www.openwall.com/php_mt_seed/
输入 ?r=0 获取随机数
运行种子破解程序 ,gcc php_mt_seed.c -o php_mt_seed 编译
./php_mt_seed 2056274452 运行
这里算出了一个154403192
根据代码,要token = mt_rand()+mt_rand()
<?php
mt_srand(154403192);
echo mt_rand()."\n";
echo mt_rand()+mt_rand();
?>
运行分别得到r 和 token
传入r=2056274452,抓包修改Cookie: token=2743475045;
发送得到flag
web26
这个可以爆
打开后一个安装界面
简单填写一下说密码错误,好家伙,那爆破一下密码,和之前那题爆破类似的操作方法
爆破成功拿到密码,用的是web21提示下的zip中的密码本
解法2:
查看源码有个check()
函数:
function check(){
$.ajax({
url:'checkdb.php',
type: 'POST',
dataType:'json',
data:{
'a':$('#a').val(),
'p':$('#p').val(),
'd':$('#d').val(),
'u':$('#u').val(),
'pass':$('#pass').val()
},
success:function(data){
alert(data['msg']);
},
error:function(data){
alert(data['msg']);
}
});
}
post返回json文件,抓包试试,将val 值这栏全部设置为空,发送得到flag
web27
CTFshow菜鸡学院招生啦!
function check(){
$.ajax({
url:'checklogin.php',
type: 'POST',
dataType:'json',
data:{
'a':$('#a').val(),
'p':$('#p').val()
},
success:function(data){
alert(data['msg']);
},
error:function(data){
alert(data['msg']);
}
});
}
这里也有个check() ,用上一题的方法试试,无效了
后来看看直接能下载录取名单
然后有个学籍查询,爆破一下
火狐浏览器抓包抓不到数据包,不知为何
构造一个post包
这里搞错了,还好运气好,一下子就跑出来了,应该要用月份那个payload跑的,这样后四位只能到1231,数据量会缩小很多
得到完整的一个就是 高先伊 621022199002015237
将输出的数据解码一下,解出响应包的Unicode编码,得到学号
登陆拿到flag
web28
大海捞针
Hint
通过暴力破解目录/0-100/0-100/看返回数据包
爆破的时候去掉2.txt 仅仅爆破目录即可,这里选择第四个
然后分别配置和payload1和2设置成一样的即可,找到一个状态为200的,即为flag
此部分为ctfshow WEB入门 爆破 21-28