爆破
爆破下下之策,平时题目直接是常见路径和文件名,多试试,而不是直接爆破
1.bp工具的使用
-
bp爆破的大概步骤:
抓包,Send to Intruder,Positions页面,add$(加入想要爆破的值),Payloads页面,Payload Options,Load,导入想跑的字典,点击Start attack
-
custom iterator(自定义迭代器)模式:
payload type选Custom iterrator,position1填admin,position2填: ,position3导入字典,按照上面步骤直接爆破
-
提高爆破效率的小技巧
1.加前缀和编码(Payloads中的Payload Options)
对payload进行加工:
- add prefix—添加前缀;
- add suffix—添加后缀;
- Match/replace—一旦匹配到了xxx就替换成XXX;
- reverse substring—对字符进行反转;
- Encode—编码;
- Hash—Hash计算
【注意:取消Palyload Encoding编码 因为在进行base64加密的时候在最后可能存在 == 这样就会影响base64 加密的结果】
2.添加匹配关键字,减少等待时间(Options模块)
- Number of retries on network failure ——网络连接失败重试的次数
- Pause before retry (milliseconds) ——重试之前时间的间隔是多少毫秒
- Grep-Match——匹配响应信息中的关键字
关于base64编码的一些特点
- 标准base64只有64个字符(英文大小写、数字和+、/)以及用作后缀等号
- base64是把3个字节变成4个可打印字符,所以base64编码后的字符串一定能被4整除(不算用作后缀的等号)
- 等号一定用作后缀,且数目一定是0个、1个或2个。这是因为如果原文长度不能被3整除,base64要在后面添加\0凑齐3n位。为了正确还原,添加了几个\0就加上几个等号。显然添加等号的数目只能是0、1或2
- 严格来说base64不能算是一种加密,只能说是编码转换。使用base64的初衷。是为了方便把含有不可见字符串的信息用可见字符串表示出来,以便复制粘贴
2.爆破网站子域名
子域名检测工具: phpinfo.me
3.md5爆破
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 11:43:51
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 11:56:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include('flag.php');
if(isset($_GET['token'])){
$token = md5($_GET['token']);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo $flag;
}
}
}else{
highlight_file(__FILE__);
}
?>
-
阅读代码,了解到需要使用get传参,得到flag
-
token需要满足两个条件:
1.经过MD5加密后的token的第二位 ,第十五位,第十八位相等
2.(第二位+第十五位+第十八位)/ 第二位 = 第三十二位
-
注意的小点:
【写python代码,需要注意看清楚php代码第二个if的括号层数,以防python脚本的条件搞错了】
【如果可以,建议用和题目相同的环境去写脚本,可以直接省掉好多问题】
【python脚本需要注意分母为零的情况的异常处理,如果不处理,则会未跑出ZE,直接终止】
【php在分母为零的情况下,INF这个值在PHP中代表的是无穷大的意思,计算不当,或者计算值超过服务器的上限都会显示】
【此题也可以php直接for循环数字】
-
web23-python脚本
import hashlib
dic = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
for a in dic:
for b in dic:
t = a + b
md5 = hashlib.md5(t.encode("utf-8")).hexdigest()
if md5[1] == md5[14] and md5[14] == md5[17]:
try:
if ( int("0x"+md5[1],16) + int("0x"+md5[14],16) + int("0x"+md5[17],16) ) / int("0x"+md5[1],16) == int("0x"+md5[31],16):
print(t)
except:
continue
-
web23-php脚本
<?php
error_reporting(0);
$string = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'; #62位
for ($a = 0; $a < 62; $a++) {
for($b = 0;$b < 62;$b++){
$flag = $string[$a].$string[$b];
$token = md5($flag);
if (substr($token, 1, 1) === substr($token, 14, 1) && substr($token, 14, 1) === substr($token, 17, 1)) {
if ((intval(substr($token, 1, 1)) + intval(substr($token, 14, 1)) + substr($token, 17, 1)) / substr($token, 1, 1) === intval(substr($token, 31, 1))) {
echo $flag . "\n";
}
}
}
}
?>
-
web23-php脚本,纯数字token
<?php
for($i=0;$i<10000;$i++)
{
$token=md5($i);
if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===substr($token, 17,1)){
if((intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1)===intval(substr($token, 31,1))){
echo 'token'.$i.'md5'.$token;
}
}
}
?>
-
相关知识点
-
md5加密特点
通常用一个32位的16进制字符串表示。
-
PHP intval() 函数
整型转换函数,用户来获取变量的整数值。
-
PHP substr() 函数
substr(string,start,length)
4.php伪随机数漏洞
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:26:39
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 13:53:31
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(372619038);
if(intval($r)===intval(mt_rand())){
echo $flag;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
?>
-
mt_scrand()函数&mt_rand()函数
mt_scrand(seed)这个函数,是通过分发seed种子,然后有了种子后,利用mt_rand()生成随机数。
-
当种子不变时,产生的随机数是一样的,这就是伪随机数漏洞。
-
随机数并不随机
<?PHP
mt_srand(0);
echo mt_rand();
echo mt_rand();
echo mt_rand();
?>
将随机数播种为0,每次运行都会获得相同的序列
<?PHP
echo mt_rand();
echo mt_rand();
echo mt_rand();
?>
去掉mt_srand()函数时,再次重复运行实例,系统会自动为rand函数播种,但也是播种一次,多次重复运行的结果也相同
- 直接在线环境php跑一下,生成随机数
<?php
mt_srand(372619038);
echo mt_rand();
echo "\n";
?>
5.php随机数爆破
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 13:56:57
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-03 15:47:33
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include("flag.php");
if(isset($_GET['r'])){
$r = $_GET['r'];
mt_srand(hexdec(substr(md5($flag), 0,8)));
$rand = intval($r)-intval(mt_rand());
if((!$rand)){
if($_COOKIE['token']==(mt_rand()+mt_rand())){
echo $flag;
}
}else{
echo $rand;
}
}else{
highlight_file(__FILE__);
echo system('cat /proc/version');
}
?>
-
isset()函数
isset在php中用来判断变量是否声明,该函数返回布尔类型的值,即true/false。isset只能用于变量,因为传递任何其它参数都将造成解析错误。
-
hexdec()函数
把十六进制数转换为十进制数,dechex()函数是把十进制转换为十六进制。
-
wp
-
分析代码,先传参一个r,这里可以直接传0,得出随机数的负值
-
利用r值可以推出第一个随机数
-
然后根据第一个随机数利用工具进行种子爆破,得到种子的值
-
利用种子,得出第二次,第三次的随机数
-
-
工具
下载地址https://www.openwall.com/php_mt_seed/
工具利用参考README
第一次使用先执行make命令,利用gcc进行编译
gcc -Wall -march=native -mtune=generic -O2 -fomit-frame-pointer -funroll-loops -fopenmp php_mt_seed.c -o php_mt_seed
种子的选择,可以抓包看一下题目使用的PHP版本,选择PHP 5.2.1-7.0.x
6.数据库密码爆破
类似第一题,直接bp暴力破解数据库密码,这里GitHub找个常用密码字典就好,慢慢爆破,根据长度不同,查看响应,拿到flag
7.身份证出生日期爆破(也可能爆破后六位)
-
利用bp暴力破解,或者利用脚本爆破
-
bp暴力破解出生日期
1.get和post请求的区别:
get请求一般用来请求获取数据
get请求通常是通过url地址请求
post请求一般作为发送数据到后台,传递数据,创建数据
post常见的则是form表单请求
2.表单提交get和post的区别:
get(获取)重点在从服务器上获取资源,post(发送)是向服务器发送数据。
数据修改用post,登录用post。查询一般使用get。
【注意:这里有可能连接不上数据库,需要多刷新几次,等抓包抓到数据】
3.Unicode在线解码工具http://www.esjson.com/unicodeEncode.html
最后利用学号和身份证号登录
-
脚本爆破
<?php //621022********5237 $myfile = fopen("zid.txt", "w") or die("Unable to open file!"); for ($year = 1990; $year < 1993; $year++) { for ($mon = 1; $mon < 10; $mon++) { for ($day = 01; $day < 10; $day++) { $txt = ('621022'.$year.'0'.$mon.'0'.$day.'5237')."\n"; fwrite($myfile, $txt); } } } for ($year = 1990; $year < 1993; $year++) { for ($mon = 1; $mon < 10; $mon++) { for ($day = 10; $day <= 31; $day++) { $txt = ('621022'.$year."0".$mon.$day.'5237')."\n"; fwrite($myfile, $txt); } } } for ($year = 1990; $year < 1993; $year++) { for ($mon = 10; $mon <= 12; $mon++) { for ($day = 10; $day <= 31; $day++) { $txt = ('621022'.$year.$mon.$day.'5237')."\n"; fwrite($myfile, $txt); } } } for ($year = 1990; $year < 1993; $year++) { for ($mon = 10; $mon <= 12; $mon++) { for ($day = 01; $day < 10; $day++) { $txt = ('621022'.$year.$mon."0".$day.'5237')."\n"; fwrite($myfile, $txt); } } } fclose($myfile); ?>
8.目录爆破
-
bp暴力破解网站目录
需要结合题目所给提示和url,先将文件2.txt去掉,直接爆破一级目录和二级目录
-
先更改攻击类型,改为Cluster bomb
-
设置两个需要爆破的目录
-
设置payload
-
爆破完成文章来源地址https://www.toymoban.com/news/detail-764876.html
补充:bp-Intruder的四种模式
1.单字典(只有一个字典)
- Sniper(狙击手):一个参数,一个字典。
- Battering ram(攻城锤):多个参数同时遍历同一个字典。
- 一个相当于单挑,一个相当于群殴。
2.多字典(有多少参数就有多少字典)
- Pitchfork(草叉模式):多个参数同时进行遍历多个不同字典
示和url,先将文件2.txt去掉,直接爆破一级目录和二级目录
-
先更改攻击类型,改为Cluster bomb
-
设置两个需要爆破的目录
[外链图片转存中…(img-VF3T33cY-1678966980128)]
-
设置payload
[外链图片转存中…(img-HLouSUoh-1678966980128)]
[外链图片转存中…(img-aitdjKjh-1678966980129)]文章来源:https://www.toymoban.com/news/detail-764876.html
-
爆破完成
补充:bp-Intruder的四种模式
1.单字典(只有一个字典)
- Sniper(狙击手):一个参数,一个字典。
- Battering ram(攻城锤):多个参数同时遍历同一个字典。
- 一个相当于单挑,一个相当于群殴。
2.多字典(有多少参数就有多少字典)
- Pitchfork(草叉模式):多个参数同时进行遍历多个不同字典
- Cluster bomb(集束炸弹):像两个嵌套的for循环,参数i和参数j,i=0,然后j要从0-10全部跑完,然后i=1,然后j再从0-10跑完,一对多,多次遍历
到了这里,关于ctfshow-web入门——爆破(web21-web28)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
