bugkuctf–login4字节翻转攻击

最新推荐文章于 2023-10-31 19:41:10 发布
最新推荐文章于 2023-10-31 19:41:10 发布
阅读量4.2k 收藏 9
点赞数 3
分类专栏: ctf 学习笔记 web安全 文章标签: ctf 学习笔记 小白
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpy1998zpy/article/details/80684485
版权
学习笔记 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
ctf
18 篇文章 7 订阅
订阅专栏
web安全
16 篇文章 3 订阅
订阅专栏

题目地址:http://118.89.219.210:49168/

字节翻转攻击原理:http://www.anquan.us/static/drops/tips-7828.html

http://www.freebuf.com/articles/system/163756.html


尝试登陆:


普通用户无法查看,用户名改为admin,密码任意:


admin又不允许登陆,并且密码是任意输入的,也就是说关键点不是绕过登陆,而是身份认证,既然是身份认证,那有可能是在cookie里进行认证的,用burp抓包,可以看到:



存在以iv和cipher为关键字的cookie,这不就是CBC加密中的术语嘛,其实也是题目的提示

但到目前为止,我也不知道服务器端对我们传入的username和password做了怎样的处理,也就不知道加密的的字符串是什么,无奈扫了一下源码泄露,发现存在.index.php.swp文件,这是index.php文件异常退出时系统自动的备份文件,可以恢复源文件的,下载下来,拿到lunix下,用命令 vim -r index.php.swp 就可以恢复,


得到源码如下:只贴上有用的部分



可以看出我们传入的用户名和密码是经过序列化的,那我们将用户名admik,密码123序列化后再进行攻击,序列化后:

s:2:{s:8:”username”;s:5:”admik”;s:8:”password”;s:3:”123″;}

现在我们清理一下思路:

服务器将我们传入的数据序列化后,得到上面的字符串,然后用一个key值(未知),和一个iv值(已知,就是cookie中的iv)来加密得到密文,经过base64和url编码后,添加到cookie中(cipher的值),作为当前用户是admik的身份标识。我们再一次发起请求时,如果不再提交username和password的值(POST的内容为空),服务器就不会进行身份更新(不会重复上面的步骤),而是会用我们的cookie中的iv和cipher值进行一次CBC解密,得到上面的字符串,再进行反序列化,得到用户名admik.

现在的目的就是我们修改cookie的值,使服务器解密后得到的用户名为admin,就是把k改为n

不过这里我们只有密文,没有明文,利用的就是CBC解密的特点:前16个密文字符用来解密接下来的一组16个密文,就是说通过改变前16个密文就可以改变下面16个密文解密的结果,这就是字符翻转攻击。具体原理看链接,解释的挺详细。

首先在burp中发送请求,得到response的内容,显示要设置两个cookie,


burp当然没法自动设置,我们手动设置,再次发送,不过这次不带POST的内容,只带刚才设置的cookie,返回显示为admik,这也就验证了我们的猜想,服务器是通过这两个cookie来进行身份认证的。


下一步将我们的序列化内容分组,16个一组:

s:2:{s:8:”userna

me”;s:5:”admik”;

s:8:”password”;s

:3:”123″;}

我们想要改的k在第二组的13位(从0开始),那我们要改第一组的第13位。

修改脚本:

将得到的新的密文url编码:


发送,结果报错了:


报错显示无法序列化,这是因为我们修改了第一组密文,那第一组密文解密后也是错的,不能正确序列化。通过CBC解密的原理我们知道,第一组密文解密时,用的是iv的值,那么我们构建一个新的iv,使这个iv解密第一组后,得到s:2:{s:8:”userna即可,脚本如下:


将新的iv值url编码后发送,得到flag:



有个坑提醒一下:iv的值是随机变化的,即使同一个用户名,多次发送POST数据,也会改变iv,所以提交一次POST后就一次完成,否则就从头再来

最后附上两个脚本:

                 
<?php
$enc=base64_decode("bIpgPK29vVQosJ+smzh0pOdq7QrP3H9CN0MBfynL1eKtILs/ayew1snTYbeYSIz8rQctkAUMORS76SWQHXwuKg==");
$enc[13] = chr(ord($enc[13]) ^ ord("k") ^ ord ("n"));
echo base64_encode($enc);
?>

<?php
$enc=base64_decode("4quudO++PAeVPQfcFJ0bbm1lIjtzOjU6ImFkbWluIjtzOjg6InBhc3N3b3JkIjtzOjM6IjEyMyI7fQ==");
$iv=base64_decode("TrphJjWLH37sj6+EBqh28A==");
$cleartext = 'a:2:{s:8:"userna';
$newiv = '';
for ($i=0;$i<16;$i++){
    $newiv=$newiv.chr(ord($iv[$i]) ^ ord($enc[$i]) ^ ord ($cleartext[$i]));
}
echo base64_encode($newiv);
?>

转载指明出处

文章同步到我的博客:http://119.23.249.120/archives/297

A1ienX
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
seccon-ctf-2014-Misc-reverse-it(强大的命令行工具)
Sea_Sand息禅
07-10 2388
题目给了个文件,拿去file查看类型,不是个什么特殊文件。 root@kali:/mnt/hgfs/共享文件夹# file Reverseit Reverseit: data 使用binwalk查看一下,也没有什么隐藏文件。 root@kali:/mnt/hgfs/共享文件夹# binwalk Reverseit DECIMAL HEXADECIMAL DESCRIPT...
BUGKU-login4-CBC字节反转攻击
weixin_43803070的博客
07-13 487
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">; <html> <head> <meta http-equiv="Content-Type" content="t...
SCTF2021__loginme
Sk1y的博客
03-11 900
SCTF2021__loginme 文章目录SCTF2021__loginme查看请求头模板渲染参考链接 赛后复现 docker创建容器,打开 提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下 题目给的附件: 打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题) 之前没碰过go,边学边做吧 本题目用了一个gin
CTF MISC】文件内容反转方法-2017世安杯CTF writeup详解
weixin_30912051的博客
03-27 3359
Reverseme 用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了 Python解题程序如下 with open('reverseMe','rb') as f: with open('flag','wb') as g: g.write(f.read()[::-1]) 将获取的图片打开,将显示的内容倒过来看即可得到Key 转载于:http...
CTF reverse】逆向入门题解集合2
hans774882968的博客
02-17 3833
文章目录buu-简单注册器-安卓逆向buu-不一样的flagbuu-SimpleRev-小段存储 作者:hans774882968以及hans774882968 buu-简单注册器-安卓逆向 上JEB package com.example.flag; import android.os.Bundle; import android.support.v4.app.Fragment; import android.support.v7.app.ActionBarActivity; import androi
bootstrap-4-login-page:Bootstrap 4登录页面模板
01-30
Bootstrap 4登录页面模板 我的登录名是Bootstrap 4登录页代码段,您可以根据需要使用它,并且可以免费用于个人或商业用途。 安装 让我们轻松一点! 只需下载此模板,然后在您的项目中使用它即可。 演示版 产品特点 ...
WPF_QQ2013_Login窗体翻转
02-05
4. **3D效果**:WPF还支持3D图形渲染,如果想要更逼真的翻转效果,可以利用Viewport3D和Model3DGroup等3D对象,创建具有深度和立体感的翻转动画。 **QQ概念版的灵感** QQ概念版通常会引入新颖的设计理念和技术,为...
login-ue4-sdk:虚幻引擎4的Xsolla登录插件
02-06
用于虚幻引擎4的Xsolla登录SDK Xsolla登录SDK允许您使用现成的服务器解决方案来对用户进行身份验证以及管理基于应用程序中的好友系统和用户帐户。 集成Login SDK后,可以使用 。 主要特点: 通过用户名和密码进行...
login4j生成日志文件
04-01
login4j生成日志文件,能够方便的输出你的程序运行的信息,很好很强大!
LogIn_login_
10-02
Login simple web app
CTF-密码学-2017世安杯ReverseMe
louhuanbin的博客
04-19 272
题目:2017世安杯ReverseMe 文件:reverseMe 读题:ReverseMe翻译过来是反转的意思 审题:发现是文件反转了,那么倒过来就可以了 解题:python输入 注意:文件与python须在同一文件下,不然找不到该文件 import os with open('reverseMe','rb') as fp: data = fp.read() reverse = data[::-1] with open('flag','wb') as f: f.w
0ctf login writeup
ling
04-12 1970
溢出点: 比较明显的格式化。 利用: 程序进入这个函数之后,只有两次格式化的机会,之后程序就会调用exit退出了。显然第一次格式化是用来泄露用的,第二次是用来改写数据的。 程序为PIE代码,且有aslr,因此所有地址都不是固定的,不过通过第一次格式化,肯定能得到login和libc的基地址。 主要第二次格式化应该改写什么。因为程序开启了FullRelro,主程序中的函数指针(
CTF逆向总结(一)
热门推荐
沐一 · 林 的博客
10-17 1万+
目录 CTF 逆向总结 题目类型总结: 汇编操作类总结: ASCII码表类总结: 逆向、脚本类总结: 栈、参数、内存、寄存器类总结: 函数类总结: IDA等软件类总结: 算法类总结: main函数主逻辑分析(C语言) 不能正常运行的exe文件类型: bugku 逆向入门:(实际TxT文件、不能直接运行) 攻防世界的csaw2013reversing2:(运行乱码、int3断点考察、函数积累、不能直接运行) 攻防世界parallel-comparator-200:(.c文件、.
BUUCTF 小明的保险箱 1
最新发布
YueXuan_521的博客
10-31 585
BUUCTF 小明的保险箱 1
CBC字节翻转攻击介绍 & 例题
Emmaaaaa's blog
07-25 947
CBC字节翻转攻击介绍 & 例题
CBC字节反转攻击原理
woshilnp的博客
05-24 1952
CBC字节反转攻击原理 原理: 在CBC模式中,每个明文块先与前一个密文块进行异或后,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有明文块。同时,为了保证每条消息的唯一性,在第一个块中需要使用初始化向量。 CBC加密过程 在这里重要的一点是,CBC工作于一个固定长度的比特组,将其称之为块。在本文中,我们将使用包含16字节的块。 前一块的密文用来产生后一块的密文。 加密过程转化成文字来叙述: 首先将明文分组(常见的以16字节为一组),位数不足的使用特殊字符填充。 生成一个随机的初始化向量(IV
Bugku Login4 (CBC字节翻转攻击)
Allard 'Blog
01-11 3210
Bugku Login4 WriteUp: 流程图链接:https://www.processon.com/view/link/5c36cc8ae4b08a7683a177cd CBC字节翻转攻击原理:http://www.anquan.us/static/drops/tips-7828.html 目录扫描,得到.index.php.swp 下载该文件,使用vim -r .index.php.s...
CBC字节反转攻击
jeffreynnn的博客
08-11 4928
0x01 题目来源https://github.com/pbiernat/BlackBox/tree/master/FL!P 下载后可以本地进行做题。0x02 解题思路1、首先看到 CBC的解密模式这里可以看到在CBC解密的时候,是将密文分组为16字节的块,将前一组密文与后一组密文解密后的分组进行异或,从而得到最终的明文。2、查看源码 发现,在判断用户输入的时候,是不能在字符串中出现“;”的,但
bugku-login4-CBC字节翻转攻击
XL115715453的博客
09-26 344
CBC模式:Cipher Black Chaining mode(密码分组链接模式) CBC模式进行加解密是都需要一个随机初始向量iv,在第一轮进行加解密是都需要与iv进行xor的。 1.加解密过程 0x01:加密过程如下图(来自《图解密码技术》一书)  0x02:解密过程(来自《图解密码技术》一书) CBC模式的加密过程主要分为这几步:   1. 将...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值