[部落格目錄]
1- 工具:
1.1- Burp Suite
一款可以進行再WEB應用程式的整合攻擊測試平臺。
常用的功能:抓包、重放、爆破
需求:(建議)Burp Suite + Firefox
介紹:Burp Suite使用介紹
代理設定+證照匯入:Firefox+Burpsuite抓包配置(可抓取https)
使用方法:
1.2- stegsolve.jar
1.3- 十六進位制編輯器
自己上網找吧!
2- 賽題
2.1 第一題:你是管理員嗎?
題目連結:http://ctf4.shiyanbar.com/web/root/index.php
解題步驟:
- 首先檢視原始碼,主頁面的標題是password.txt,嘗試訪問password.txt:
http://ctf4.shiyanbar.com/web/root/password.txt
出現字典:
- 使用Burp Suite爆破:
首先記錄字典,隨便拿個記事本就行,甚至直接放在剪貼簿;
開啟Burp Suite,新建專案,點選Proxy--Intercept下面的Intercept is off按鈕,讓它變成Intercept is on:
再次訪問index.php,頁面會一直保持載入,說明已經被Burp Suite抓包,點選forward,讓頁面載入出來,隨便輸入幾個數,試圖登入,頁面卡住(被抓包),這時回到Burp Suite,在抓包介面(注意raw裡面會出現彩色變數username=admin&password=123)點選action按鈕,選擇Send to Intruder:
點選最上面選單欄的Intruder選項(變成橘黃色的),點選該頁面下的position選項,先點clear清除變數(因為BP預設會選中使用者名稱username和密碼password雙變數,雙變數爆破會很慢,因為index中的使用者名稱是固定的admin,我們只用爆破密碼就好了)再選中password的變數(也就是圖中的123)點選add,這時會發現123變成$123$,說明爆破變數已經確定:
然後點選payload按鈕(設定字典),在payload options這一塊中,將原本的字典複製進剪貼簿,然後點paste,或者直接匯入檔案也行:
匯入後直接點選右上角start attack按鈕,等待……
結果是發現密碼:Nsf0cuS(一長串的1924都是錯誤回應,那麼一個2063應該很明顯了……)
- 找到密碼後,我們關掉抓包:Intercept is off或者直接點Forward,
我們將結果輸入password.txt頁面,發現只能輸入五位數!?看來不行,我們得用Burp Suite來登入了,再次開始抓包
Intercept is on(如果之前點forward就不用了,Intercept會一直保持),我們隨便輸入一些數進去,然後登入,頁面再次載入,我們抓到包後看到raw中的可修改的彩色部分:
我們再次點選action按鈕,選擇Send to Repeater按鈕(重放功能),在Request欄中將password改為Nsf0cuS,點選go按鈕,Response中出現資訊,發現Set-Cookie:newpage=MjkwYmNhNzBjN2RhZTkzZGI2NjQ0ZmEwMGI5ZDgzYjkucGhw;
bingo!但是還是沒有找到flag!
- 我們對
MjkwYmNhNzBjN2RhZTkzZGI2NjQ0ZmEwMGI5ZDgzYjkucGhw;進行base64解碼,
結果為:290bca70c7dae93db6644fa00b9d83b9.php
關掉抓包:Intercept is off
趕緊訪問試試:http://ctf4.shiyanbar.com/web/root/290bca70c7dae93db6644fa00b9d83b9.php
發現又是一個新介面,還沒結束!開啟抓包,隨便輸入點東西:
抓到包發現了可修改部分!趕緊Send to Repeater,修改Cookie: IsLogin=1和userlevel=root,gogogo~
- flag終於出現!但是!注意這個格式!千萬不要以為直接輸入上面的數就可以了!錯!
因為%7B和%7D是{和},所以答案應該再進行url解碼!
2.2 第二題:iOS
解題連結:http://ctf4.shiyanbar.com/web/IOS/index.php
- 開啟解題介面後,出現系統升級至iOS99字樣,由此可以推出,需要修改User-Agent,開啟burpsuite,進入下圖選項卡
- 然後是修改瀏覽器的代理設定,將ip地址和埠號設定成和上圖一樣的即可。
- 開啟瀏覽器的代理,重新整理介面,可以看見出現下圖的情況:
- 切換至repeater選項卡,將下圖中user-agent部分進行修改
- 修改成下圖對應位置的樣子之後,點go,右半部分反饋得到flag:
2.3 第三題:照貓畫虎
解題連結:http://ctf4.shiyanbar.com/web/copy/index.php
- 開啟連結出現如下介面
- 根據最下面一排的提示,可以得知,要為第1234567890位使用者才可以訪問,嘗試用burpsuite抓包
- 可以發現在Cookie那一欄出現:
Visitor=MjY5OTowNDE1NzQwZWFhNGQ5ZGVjYmM4ZGEwMDFkM2ZkODA1Zg%3D%3D;
因為%3D%3D轉換之後是==,則可以猜測Visitor=後面所跟的是經過base64加密的字串,對字串進行解碼,得到2699:0415740eaa4d9decbc8da001d3fd805f
其長度為32,剛好是2699的32位小寫md5編碼:
- 根據頁面中出現的
You're 2699th Visitor可得cookie中Visitor後的字串格式為“ base64(人數:md5(人數))”,將1234567890進行32位小寫的md5加密,得到:e807f1fcf82d132f9bb018ca6738a19f
在該字串前面加上1234567890:構成1234567890: e807f1fcf82d132f9bb018ca6738a19f
進行base64編碼,得到:MTIzNDU2Nzg5MDplODA3ZjFmY2Y4MmQxMzJmOWJiMDE4Y2E2NzM4YTE5Zg==
將=轉換為%3D後貼上至repeater下Cookie部分的對應位置。點go,得到flag:
2.4 第四題:問題就在這
題目描述:找答案 GPG key: GhairfAvvewvukDetolicDer-OcNayd#
解題連結:http://ctf4.shiyanbar.com/ste/gpg/john.tar.gz.gpg
- 點選連結後會下載一個檔案,檔案字尾名是gpg,使用工具https://gpg4win.org/download.html直接輸入key解密出檔案,解壓後發現是一個字尾名為pcap的資料包檔案。
- 利用 wireshark開啟後,
右鍵選擇“顯示分組位元組”
- 儲存為png圖片,用stegsolve開啟,一個一個試就能得到flag了:
2.5 第五題:你最美~
題目連結:http://ctf4.shiyanbar.com/web/root/index.php
解題步驟:
- 點選之後是一個123.exe用16進位制的編輯器(網上隨便找一個)開啟:
- 藥~是個base64的圖片,上base64圖片解碼
- 藥~開啟手機微信掃一下:
you're beautiful~
2.6 第六題:shellcode
解題連結:http://ctf4.shiyanbar.com/re/shellcode/shellcode.txt
- 新彈出的介面只包含以下資訊,熟悉注入的同學一看就很像shellcode:
\x6a\x0b\x58\x99\x52\x66\x68\x2d\x63\x89\xe7\x68\x2f\x73\x68\x00\x68\x2f\x62\x69\x6e\x89\xe3\x52\xe8\x34\x00\x00\x00\x65\x63\x68\x6f\x20\x5a\x6d\x78\x68\x5a\x33\x74\x54\x53\x45\x56\x73\x62\x47\x4e\x76\x5a\x47\x56\x66\x53\x56\x4e\x66\x63\x32\x39\x66\x51\x32\x39\x76\x62\x48\x30\x4b\x7c\x62\x61\x73\x65\x36\x34\x20\x2d\x64\x00\x57\x53\x89\xe1\xcd\x80- 藥~丟進十六進位制編輯器裡面看看:
嗯,提取出內容:ZmxhZ3tTSEVsbGNvZGVfSVNfc29fQ29vbH0K
真熟悉~ - 藥~base64解碼:
- so~cool !