• 实验吧——让我进去(hash长度扩展攻击)


    题目地址:http://ctf5.shiyanbar.com/web/kzhan.php

    在页面源码没发现什么,于是用burp进行抓包重放

    看到有setcookie,于是重新刷新页面拦截数据包(这次才会带上cookie)

    这个source=0 一看就很可疑,改成source=1,就得到了源码

     1 <?php
     2 $flag = "XXXXXXXXXXXXXXXXXXXXXXX";
     3 $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!
     4 
     5 $username = $_POST["username"];
     6 $password = $_POST["password"];
     7 
     8 if (!empty($_COOKIE["getmein"])) {
     9     if (urldecode($username) === "admin" && urldecode($password) != "admin") {
    10         if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
    11             echo "Congratulations! You are a registered user.
    ";
    12             die ("The flag is ". $flag);
    13         }
    14         else {
    15             die ("Your cookies don't match up! STOP HACKING THIS SITE.");
    16         }
    17     }
    18     else {
    19         die ("You are not an admin! LEAVE.");
    20     }
    21 }
    22 
    23 setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));
    24 
    25 if (empty($_COOKIE["source"])) {
    26     setcookie("source", 0, time() + (60 * 60 * 24 * 7));
    27 }
    28 else {
    29     if ($_COOKIE["source"] != 0) {
    30         echo ""; // This source code is outputted here
    31     }
    32 }

    通读源码,知道要得到flag的条件是:提交一个post包,其包含username,password还有一个名为getmein的cookie, 而且要满足username是'admin',password不是'admin',而且(secret+username+password)的md5值要等于getmein,但问题是我们根本不知道secret的值,只知道secret位数为15。还有通过setcookie知道的东西是 (secret+'admin'+'admin')的MD5值为571580b26c65f306376d4f64e53cb5c7

    典型的hash长度扩展攻击,也就是如果我们知道

    1.secret的长度

    2.data的值

    2.secret+data 的MD5值

    我们就能构造出

    secret+data+其他值 的MD5

    想想是不是我们就可以绕过这题的验证了?

    具体原理移步这里:http://www.freebuf.com/articles/web/69264.html   https://www.cnblogs.com/p00mj/p/6288337.html

    自己写工具也挺麻烦,所以我就用现成的了,在kali上装了一个hashpump,用法如下

    最后我们的 "其他值" 就是x80x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00xc8x00x00x00x00x00x00x00xxx

    所以我们构造post包如下

  • 相关阅读:
    拼接表达式树的原理
    ql Server 2012完全卸载方法
    jquery tmpl 详解
    Entity Framework(EF) Code First将实体中的string属性映射成text类型的几种方式
    Entity Framework 数据生成选项DatabaseGenerated
    Entity Framework 复杂类型
    EF Code First 学习笔记:约定配置
    比特币转账流程
    mmap 的理解
    copy_to_user,copy_from_user,get_user,put_user函数比较
  • 原文地址:https://www.cnblogs.com/leixiao-/p/9749792.html
Copyright © 2020-2023  润新知