web21
打开题目,随便输入用户名admin和密码(密码随便):
抓包准备爆破,从数据包中可以看出输入用户名和密码是被一起,用base64解密一下,可以看得出,用户名和密码在数据包中的格式为:用户名:密码,接下来准备爆破
要把URL-encode these characters的打勾去掉,因为“=”会影响base64,然后开始跑,跑出结果:
把YWRtaW46c2hhcms2Mw拿去base64解密得:admin:shark63。然后拿用户名和密码去登录,就可以得到flag
web22
这一关就是爆破子域名,没有什么好说的
web23
根据题目:
<?php
error_reporting(0);
include('flag.php');
if(isset($_GET['token'])){
$token = md5($_GET['token']);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $flag;
}
}
}else{
highlight_file(__FILE__);
}
?>使用python或php,写payload,找出符合条件的token
代码如下:
import hashlib
dic = '0123456789qazwsxedcrfvtgbyhnujmikolp'
for a in dic:
for b in dic:
t = str(a)+str(b)
md5 = hashlib.md5(t.encode('utf-8')).hexdigest()
if md5[1] != md5[14] or md5[14]!= md5[17]:
continue
if(ord(md5[1]))>=48 and ord(md5[1])<=57 and (ord(md5[31]))>=48 and ord(md5[31])<=57:
if((int(md5[1])+int(md5[14])+int(md5[17]))/int(md5[1])==int(md5[31])):
print(t)import hashlib
for i in range(1,10000):
md5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if md5[1] != md5[14] or md5[14]!= md5[17]:
continue
if(ord(md5[1]))>=48 and ord(md5[1])<=57 and (ord(md5[31]))>=48 and ord(md5[31])<=57:
if((int(md5[1])+int(md5[14])+int(md5[17]))/int(md5[1])==int(md5[31])):
print(i)<?php
error_reporting(0);
$a="asdfghjklqwertyuiopzxcvbnm1234567890";
for($i=0;$i<36;$i++){
for($j=0;$j<36;$j++){
$token=$a[$i].$a[$j];
$token = md5($token);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $a[$i].$a[$j];
exit(0);
}
}
}
}
?> 以上三个payload代码都可以跑出符合条件的token,接着拼接上token参数便可以获取flag
web24
题目:
<?php
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(372619038);
if(intval($r)===intval(mt_rand())){
echo $flag;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
?>这一关考察PHP伪随机数种子,用简单代码跑出r
传递r参数便可以得到flag
mt_srand() 播种 Mersenne Twister 随机数生成器。
语法:mt_srand(seed)
intval() 函数用于获取变量的整数值
web25
题目:
<?php
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(hexdec(substr(md5($flag), 0,8)));
$rand = intval($r)-intval(mt_rand());
if((!$rand)){
if($_COOKIE['token']==(mt_rand()+mt_rand())){
echo $flag;
}
}else{
echo $rand;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}这一关因为我的环境有点问题,php_mt_seed跑不了,所以这一关我复现不了
web26
这一关直接爆破抓包密码
web27
这一关的思路:先点击查看录取名单,发现学生姓名和身份证号码关键信息,只不过身份证号码是不完整的,很明显,这就需要爆破
点击学生学籍信息查询系统后,发现它需要学生姓名和身份证号码才能才查询
接着就在把身份证号码作为变量进行爆破
奇怪的是我爆破后,没有发现结果,也不知道哪里出问题,还是环境问题。如果爆破出结果后,要把结果拿去Unicode编码一下才能看到文字信息,便可以拿到学号,然后再到用户登录,输入学号,密码是身份证号码。
这一关如果用火狐浏览器,burp不能直接抓到这个页面的数据,需要用谷歌浏览器
web28
把目录中的==/0/2/==中的“0”和“2”分别设为变量,去掉2.txt,进行爆破:
免责声明:本文章涉及的知识和技能仅用于学习研究,如有用于非法途径或未被授权的真实网络环境,所造成的后果及连带责任自行承担,与本文作者无关,倡导把安全知识和技能用于正当、正规、正义的途径。