主页 » Tags

爆破

Web21

链接靶场后提示需要登录密码输入密码登录尝试抓包 观察请求包发现,用户名与密码被base64编码后放入Authorization字段解码后观察组合格式 下载题目所给字典dic.zip,打开后发现仅有密码字。猜想用户名不变为admin,故仅添加八位后部分为payload 导入字典,选择base64编码,取消url编码 ...

2025-03-10 · 1 分钟 · 170 字 · AuranLu

Web22

2025-03-10 · 0 分钟 · 0 字 · AuranLu

Web23

0x01 链接靶场,回显php源码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 11:43:51 # @Last Modified by: h1xa # @Last Modified time: 2020-09-03 11:56:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php'); if(isset($_GET['token'])){ $token = md5($_GET['token']); if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){ if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){ echo $flag; } } }else{ highlight_file(__FILE__); } ?> 0x02 代码审计,代码大意为将get传参的token值进行md5加密,进行判断。若下标1的数+下标14+下标17/下标1===,则输出flag 尝试任意传参后使用burp抓包后,将传参值添加为payload后进行爆破 0x03 过滤响应包长度,查看另类响应包回显内容,获得flag ...

2025-03-10 · 1 分钟 · 231 字 · AuranLu

Web25

0x01 访问靶场,获得源码回显 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 <?php error_reporting(0); include("flag.php"); if(isset($_GET['r'])){ $r = $_GET['r']; mt_srand(hexdec(substr(md5($flag), 0,8))); #md5($flag):md5() 函数是一个哈希函数,它将传入的参数进行哈希处理并返回一个32位的十六进制字符串。在这里,$flag 是一个变量,它可能代表一个标志或者一个关键值 #substr(md5($flag), 0, 8):substr() 函数用于截取字符串的一部分。在这里,它将对上一步得到的32位的十六进制字符串进行截取,只保留前8位。 #hexdec(substr(md5($flag), 0, 8)):hexdec() 函数将十六进制字符串转换为对应的十进制数值。在这里,它将对前一步得到的8位十六进制字符串进行转换 #mt_srand(hexdec(substr(md5($flag), 0, 8)));:mt_srand() 函数用于设置 Mersenne Twister 随机数生成器的种子。在这里,它将使用前面得到的十进制数值作为种子,来初始化随机数生成器。 #这段代码的目的是将一个标志或者关键值 $flag 经过一系列的处理,得到一个种子值,并将该种子值用于初始化随机数生成器。这样做的目的可能是为了生成一个可预测但不易破解的随机数序列。 $rand = intval($r)-intval(mt_rand()); if((!$rand)){ #如果$rand的值为0就执行下面的代码,否则执行所对应else部分代码 if($_COOKIE['token']==(mt_rand()+mt_rand())){ #$_COOKIE['token']:$_COOKIE 是一个包含通过 HTTP cookie 传递给当前脚本的变量的数组。$_COOKIE['token'] 表示从 cookie 中获取名为 "token" 的值。 #mt_rand():mt_rand() 函数是一个 Mersenne Twister 随机数生成器,用于生成一个随机整数 #根据这段代码的逻辑,它可能用于验证 "token" 的值是否等于两个随机整数之和。如果相等,那么说明该 "token" 值是通过生成随机数得到的,可以被认为是合法的。否则,如果不相等,那么可能是伪造的或者被篡改的 "token" 值。 echo $flag; } }else{ echo $rand; } }else{ highlight_file(__FILE__); echo system('cat /proc/version'); } Linux version 5.4.0-148-generic (buildd@lcy02-amd64-112) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #165-Ubuntu SMP Tue Apr 18 08:53:12 UTC 2023 Linux version 5.4.0-148-generic (buildd@lcy02-amd64-112) (gcc version 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1)) #165-Ubuntu SMP Tue Apr 18 08:53:12 UTC 2023 0x02 代码审计后传入参数r=0以获得mt_rand第一次输出的值 ...

2025-03-10 · 3 分钟 · 1070 字 · AuranLu

Web26

0x01 访问靶场 0x02 未发现利用点,尝试访问href链接 无输入尝试提交 任意输入后提交并尝试抓包 0x03 发现传参利用点 尝试爆破 获得flag

2025-03-10 · 1 分钟 · 60 字 · AuranLu

Web27

0x01 访问靶场 0x02信息收集 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <HTML> <HEAD> <title>欢迎使用正方教务管理系统!请登录</title> <meta content="IE=7" http-equiv="X-UA-Compatible"> <meta content="text/html; charset=gb2312" http-equiv="Content-Type"> <meta content="gb2312" http-equiv="Content-Language"> <meta name="robots" content="all"> <meta name="author" content="作者信息"> <meta name="Copyright" content="版权信息"> <meta name="description" content="站点介绍"> <meta name="keywords" content="站点关键词"> <LINK rel="icon" type="image/x-icon" href="style/base/favicon.ico"> <LINK rel="shortcut icon" type="image/x-icon" href="style/base/favicon.ico"> <LINK rel="stylesheet" type="text/css" href="style/base/jw.css" media="all"> <LINK rel="stylesheet" type="text/css" href="style/standard/jw.css" media="all"> <!--[if IE 6]> <SCRIPT src="style/js/ie6comm.js"></SCRIPT> <SCRIPT> DD_belatedPNG.fix('img'); </SCRIPT> <![endif]--> <style>.fangshua { COLOR: red; FONT-SIZE: 14px; FONT-WEIGHT: bold } .login_right DL { MARGIN: 0px 0px 0px 105px; MIN-HEIGHT: 20px; WIDTH: 285px; _height: 20px } </style> </HEAD> <body class="login_bg"> <form name="form1" onsubmit="return false;" id="form1"> <div class="login_main"> <div class="login_logo"> <h2><IMG src="logo/logo_school.png"></h2> <h3><IMG src="logo/logo_jw.png"></h3> </div> <div class="login_left"><IMG class="login_pic" src="logo/login_pic.png"></div> <div class="login_right"> <dl style="MARGIN-TOP: 92px"> <dt class="uesr"> <label id="lbYhm">学号:</label> </dt> <dd> <input id="a" name="username" type="text" id="txtUserName" tabindex="1" class="text_nor" autocomplete="off" /></dd></dl> <div style="CLEAR: both"></div> <dl> <dt class="passw"> <label id="lbMm">密码:</label> </dt> <dd> <input id="p" name="password" type="password" id="Textbox1" tabindex="2" class="text_nor" autocomplete="off" /><input name="TextBox2" type="password" id="TextBox2" tabindex="2" class="text_nor" onblur="update(this);" autocomplete="off" style="DISPLAY: none" /></dd></dl> <div style="CLEAR: both"></div> <div style="CLEAR: both"></div> <dl> <dd> <table id="RadioButtonList1" border="0"> <tr> <td><input id="RadioButtonList1_0" type="radio" name="RadioButtonList1" value="部门" tabindex="4" /><label for="RadioButtonList1_0">部门</label></td><td><input id="RadioButtonList1_1" type="radio" name="RadioButtonList1" value="教师" tabindex="4" /><label for="RadioButtonList1_1">教师</label></td><td><input id="RadioButtonList1_2" type="radio" name="RadioButtonList1" value="学生" checked="checked" tabindex="4" /><label for="RadioButtonList1_2">学生</label></td><td><input id="RadioButtonList1_3" type="radio" name="RadioButtonList1" value="访客" tabindex="4" /><label for="RadioButtonList1_3">访客</label></td> </tr> </table></dd> <dt></dt> </dl> <div style="CLEAR: both"></div> <dl> <dd> <input type="button" onclick="check();" name="Button1" value="" id="Button1" class="btn_dl" /><input type="submit" name="Button2" value="" id="Button2" class="btn_cz" /><input name="lbLanguage" type="text" id="lbLanguage" style="DISPLAY: none" /> <p><a href="list.xlsx" id="linkForget" target="_blank">录取名单</a><br> <A href="info/query.php" target="_blank"> <span id="lbSelect">学生学籍信息查询系统</span></A></p> </dd> </dl> </div> <div class="login_copyright"><IMG src="logo/二维码.png"><span>&copy;1999-2017 <a href="http://www.zfsoft.com" target="_blank">正方软件股份有限公司</a> <span>版权所有</span></span> <input name="hidPdrs" id="hidPdrs" type="hidden" size="5" /><input name="hidsc" id="hidsc" type="hidden" size="5" /> </div> </div> </form> </body> <script type="text/javascript" src="js/jquery.min.js"></script> <script> function check(){ $.ajax({ url:'checklogin.php', type: 'POST', dataType:'json', data:{ 'a':$('#a').val(), 'p':$('#p').val() }, success:function(data){ alert(data['msg']); }, error:function(data){ alert(data['msg']); } }); } </script> </HTML> 审查源码可获得一份list.xlsx文件,内容为 ...

2025-03-10 · 3 分钟 · 1392 字 · AuranLu

Web28

0x01 链接靶场,查看源码,未发现利用点 0x02 观察目录,发现目录多以序号命名,尝试使用dirsearch后台扫描爆破

2025-03-10 · 1 分钟 · 53 字 · AuranLu