网络信息安全学习平台---解密关第9题

最新推荐文章于 2023-02-11 16:48:21 发布
最新推荐文章于 2023-02-11 16:48:21 发布
阅读量1.7k 收藏
点赞数 4
文章标签: 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhankehua/article/details/51865788
版权
我们一直认为,只要消息签名了,salt不泄露且无法猜解到,即便是算法使用公开的加密算法,那么黑客也无法篡改信息.可是真的是这样嘛?
Tips: MD5 Length Extension Attack!
Tips: 除已经告知的/etc/hosts文件外,若能读取到任意系统文件即可获取Flag.
Info: 增加密钥长度为32位
根据以上提示,很明显知道是要利用MD5 Length Extension 漏洞。那就网上搜索吧,很好找到了hashpump这个工具
这个工具安装,费了我半天的劲,我在kali中安装的。安装过程就不说了。这时重点说一下怎么使用吧。
首先看帮助
那知道了以上内容,我们可以进行利用了
hashpump -s f3d366138601b5afefbd4fc15731692e -d /etc/hosts -k 32 -a zhan
产生以下两行信息
d1b75782139845f2ad992d6136fc496f
/etc/hosts\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x01\x00\x00\x00\x00\x00\x00zhan
把第一行的md5值赋给sign这个变量
第二行把"\x"替换成“%”,赋给filepath这个变量
结果如下:

有点小兴奋啊,呵呵!
幽狼传说
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF writeup 1_网络安全实验室
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
网络信息安全攻防学习平台-解密关8
sishisa4n3的博客
03-18 276
网络信息安全攻防学习平台-解密关8 网络信息安全攻防学习平台-解密关8 解思路 我们先将数据下载到本地;发现为logicdata文件; 用winhek打开文件,发现右侧有一行提示; 提示内容为Saleae Async Serial Analyzer,用浏览器搜索后发现为逻辑分析仪; 下载软件后导入数据,其中comma表示逗号的意思; 所以,答案应该为iloveyou,xiaoguniang! winhex下载地址:http://www.winhex.com/index-c.html
PostgreSQL高权限命令执行(CVE-2019-9193)漏洞复现&实战
jihaichen的博客
04-26 2693
一、漏洞利用 这个漏洞是一个版本漏洞 从9.3版本开始,Postgres新增了一个COPYTO/FROMPROGRAM功能,允许数据库的超级用户以及pg_read_server_files组中的任何用户执行操作 系统命令,利用的前提 1、需要登录2、需要高权限 所以要先弱口令爆破之后,然后查看是否是高权限。 这里之所以选择复现这个漏洞,因为其中的思路比较有意思,也就是看回显的思路。 先大体讲一下这个漏洞是怎么看回显的,他是通过命令执行然后把回显写入创建的一张表里面,下面来具体操作。 先删除你
网络安全实验室-解密关1
hzxtjx的博客
07-14 1565
因为目说明无需登录,所以应该是点击忘记密码,输入admin没有什么提示,回去看 试试随便输入用户名-重置密码-出现重置密码成功并且地址栏改变 发现有重要信息sukey sukey=e511edbe23a1bfc18c622f491da9d5b1&username=1 将sukey的值拿去试试解密,发现是md5加密:https://pmd5.com/ 一串数字,不知道什么意思 再次按照流程走一遍看看有不有漏掉的信息 发现sukey变了 而且变化相似,数字多半是时间戳:https://mip.wann
网络安全实验室---解密
Red Rapefruit
08-03 1663
目描述: 以管理员身份登录系统 分值: 450 以管理员身份登录即可获取通关密码(重置即可,无需登录) 通关地址 补充说明:假设除了admin用户,其它用户的邮箱都可被登录获取重置密码的链接
网络安全实验室6.解密
自强不息
02-11 1881
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
网络信息与安全--第二次作业.docx
07-14
网络信息与安全是信息安全领域的重要组成部分,涉及到网络通信的安全、数据保护以及用户隐私的维护。在本次的第二次作业中,主要探讨了几个关键的加密算法和安全概念。 1. **DES(Data Encryption Standard)密码**...
助理电子商务师理论试-(2).docx
12-16
25. 第三方电子商务平台对买卖双方的益处包括可以使买方搜寻需耍的产品和服务、使交易方不需要直接连接对方网络或昂贵的增值网络、吸引更多的买方访问平台从而增加卖方的商业机会、为中小企业应用电子商务提供了有力...
交大网络教育-网络信息安全第二次作业.docx
07-09
网络信息安全知识点详解】 1. **DES(Data Encryption Standard)密码**:DES是一种古老的对称加密算法,采用56位的密钥。由于其密钥长度较短,现在已经被AES(Advanced Encryption Standard)取代,因为AES...
计算机网络安全试-《网络安全与管理》网络安全试.docx
最新发布
06-10
可编辑范本 计算机网络安全试-《网络安全与管理》网络安全试全文共7页,当前为第1页。 B . 计算机病毒具有破坏性,不具有传染性 C. 破坏性和传染性是计算机病毒的两大主要特征 D . 计算机病毒只具有传染性,...
尚硅谷Spring Boot全套教程(下)之整合篇:
05-15
尚硅谷Spring Boot全套教程(下)整合篇: 1、缓存(整合Redis) 2、消息中间件(整合RabbitMQ) 3、检索(整合ElasticSearch) 4、任务(异步任务,定时任务,邮件任务) 5、安全(整合SpringSecurity) 6、分布式(整合Zookeeper/dubbo,整合Spring Cloud)
网络安全技术6-PKI密钥管理体制1
08-03
网络安全技术中的PKI(Public Key Infrastructure)密钥管理体制是一种基于公钥加密技术的身份验证体系,它为互联网上的安全通信提供了基础。...了解并正确使用PKI技术对于保护网络资产和信息安全至关重要。
网络信息安全攻防学习平台上传关
MVP_com的博客
09-10 1929
游戏地址:http://hackinglab.cn/ShowQues.php?type=upload 网络信息安全攻防 第1 请上传一张jpg格式的图片说明:此通过查看其源代码得知,它是通过js对上传文件格式进行限制。并且是客户端验证形式,我们就可以用查看器将验证处代码删除即可。 解法:进入过关地址,打开开发人员工具中的查看器找到js验证的那段代码,将验证函数改为true第2 请上传一张jpg格式的图片说明:
网络安全实验室综合关-第4
07-25 1417
目: 最简单的数字取证1分值: 150 小明是某安全公司的职员,今天是他第一次参与客户应急工作,来到客户现场,客户给了他一个文件,然后客户就忙着开会去了……来吧,我们一起帮助小明看一下,这个文件里到底有什么内容.通关地址 Tips: 在这个文件中发现key文件找到key并提交即可通关 目分析: 根据意,这应该是一道逆向目,那么使用逆向工具IDA,工具下载地址:https://pan...
网络安全基础:加密,解密与CA
weixin_34037515的博客
06-17 163
为什么80%的码农都做不了架构师?>>> ...
网络黑客攻防学习平台之基础关第
baigoocn的专栏
05-20 1341
网络黑客攻防学习平台之基础关第
广西首届网络安全选拔赛 bin文件的分析
qq_41071646的博客
06-08 1040
这个 一开始 我看着很简单 照着网上的也都做了 但是怎么也没有找到 backdoor 过了好多天 想起 很多文件夹一个一个试试 才找到这个文件 [~]$ binwalk -e '/home/pipixia/桌面/CTF.bin' DECIMAL HEXADECIMAL DESCRIPTIO...
Python爬虫——2017高校网络信息安全管理运维挑战赛:快速计算
雪兰灵莹的小窝
11-02 796
,遇到的目是这个样子的 每次刷新数字就变了。。。 第一眼我还是想手算的。。。然后我看见了那个半秒。。。必须计算机来算啊!!!网页的源码是这样的 只要能从网页上获取数据,岂不是美滋滋第一次,我使用java来获取数据import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStre
国内找不到的APP,都在这里!
热门推荐
jihaichen的博客
05-15 1万+
昨天果酱告诉了大家安卓机卡顿的原因,其中提到,安卓手机下载应用最好在谷歌商店下载。那今天果酱又要推荐一个非常不错的安卓应用商店,一个集应用宝与 Google Play 于一身的纯良应用商店——APKPure 。APKPure 页面清爽简洁,没有推送和广告,支持中文,支持国内全部主流应用,支持所有 Google Play 的纯净应用,听起来是不是就觉得超级酷。首先果酱给你们看看APP页面:我们都知道...
全国大学生网络安全知识竞赛试及答案.docx
06-22
"全国大学生网络安全知识竞赛试及答案包含了多项选择,涵盖了网络法律、密码学、网络广告、个人隐私保护、网络安全管理等多个方面的知识。这些目旨在测试参赛者的网络安全意识和相关法律法规的理解,以及对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值