ctfshow web入门爆破

hacker-newbie

发布于：2021年8月15日

信息搜集补充
网页源码，burpsuite，robots.txt，phps源码泄露，扫源码，版本控制( git代码泄露(url/.git/index.php)，url/.svn/），vim缓存(index.php.swp)，cookie，使用nslookup命令查看DNS记录(nslookup -qt=txt) ，通过dns检查https://zijian.aliyun.com/，网上公开信息可能为管理员登陆密码，技术文档敏感信息，源码透漏重要信息，得到重要(editor)信息通过此功能遍历目录，邮箱查询地址，测试用的探针(/tz.php雅黑php探针)，ping找真实ip地址，js脚本

web 21

进去显示需要登陆才可以，这时我们需要用户名密码爆破，我们先输入万能用户名密码登陆抓包。

这里的用户名密码进行了base64编码。将它发到爆破模块。添加需要攻击的区域。然后将payloads的payload type设置为Custom iterator然后添加字典。

position 1

position 2

position 3 我用的是给的密码字典

然后还要进行base64编码

除此之外还要排除Payload Encoding

最后可以设置下线程，进行爆破，之后找到200状态码即可。

web 23

使用了MD5加密，试试MD5部分爆破

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 11:43:51
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 11:56:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include('flag.php');
if(isset($_GET['token'])){
    $token = md5($_GET['token']);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo $flag;
        }
    }
}else{
    highlight_file(__FILE__);
}
?>

写个php脚本跑起来。

<?php
$token='123';
while(true){
    $t=$token;
    $token=md5($token);
    if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
        if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
            echo "over!"."<br>";
            echo $t;
            break;
        }
    }
}
highlight_file(__FILE__);
?>

这样就可以跑出来成立的token并输出，然后使用输出的token值就可以得到flag。

web 24

 <?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 13:26:39
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 13:53:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(372619038);
    if(intval($r)===intval(mt_rand())){
        echo $flag;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
}
?>

这时一个伪随机数，这里使用了mt_srand(seed)函数设定了一个seed种子，有了种子之后，靠mt_rand()生成随机数。但是从php 4.2.0版本开始，随机数生成器自动播种，因此没有必要使用该函数播种，并且如果设置了seed参数，那么生成的随机数就是伪随机数，意思就是每次生成的随机数是一样的。在本题中

<?php
    mt_srand(372619038);
    echo (mt_rand());
?>

生成的是1155388967，因此给r赋此值就得到了flag。这里要注意生成伪随机数的php版本。

web 25

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 13:56:57
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
    $r = $_GET['r'];
    mt_srand(hexdec(substr(md5($flag), 0,8)));
    $rand = intval($r)-intval(mt_rand()); //这里并不能判断mt_rand的值。
    if((!$rand)){
        if($_COOKIE['token']==(mt_rand()+mt_rand())){
            echo $flag;
        }
    }else{
        echo $rand;
    }
}else{
    highlight_file(__FILE__);
    echo system('cat /proc/version');
} 
?>

他是先将flag进行MD5编码，再取前八位进行十进制转换。下面有$rand我们可以利用它得到伪随机数。

这里** 星2 **结果并没有拿到flag，看了提示之后发现，使用函数mt_srand(seed)确实得到的是伪随机数，但是再同一环境下同时拿多个随机数他们每一个是不一样的，虽然是固定的，所以我们在这里是不能相加的。所以我们拿不到seed值的话很难拿到他的第二个伪随机数。

这里找大佬博客有一个php_mt_seed-PHP mt_rand()种子破解程序https://www.openwall.com/php_mt_seed/ 建议放在linux跑这里会跑出多个seed我们要一个个去试。。。。最后拿到相加结果并添加到cookie的token里面。

这样就可以拿到为随机数。

web 26

这里是一个登陆页面，上面也有一些默认提供的信息。先试试抓包。返回错误

这时先试试密码破解。然后爆破成功，得到flag。

除此之外，还有一种解法！！！

function check(){
			$.ajax({
			url:'checkdb.php',
			type: 'POST',
			dataType:'json',
			data:{
				'a':$('#a').val(),
				'p':$('#p').val(),
				'd':$('#d').val(),
				'u':$('#u').val(),
				'pass':$('#pass').val()
			},
			success:function(data){
				alert(data['msg']);
			},
			error:function(data){
				alert(data['msg']);
			}
		});
		}