又是一个周一,今天的挑题环节挑中了“让我进去”,因为做完这个这一行连成五个哈哈哈。那就开始做吧:
1、打开网页是登陆请求,查看源码没啥特殊的。
2、然后burpSuite抓包,发现一个奇怪的cookie:
3、把source改成1,然后forward,就可以在网页上看见源码。
4、我们仍然一步步分析代码。
(1)
$flag = "XXXXXXXXXXXXXXXXXXXXXXX";
$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!
$username = $_POST["username"];
$password = $_POST["password"];
flag和secret是隐藏的,username和password是用户输入获得的。
(2)
if (!empty($_COOKIE["getmein"])) {
if (urldecode($username) === "admin" && urldecode($password) != "admin") {
if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
echo "Congratulations! You are a registered user.\n";
die ("The flag is ". $flag);
}
else {
die ("Your cookies don't match up! STOP HACKING THIS SITE.");
}
}
else {
die ("You are not an admin! LEAVE.");
}
}
函数解析:
$_COOKIE:获得cookie值
empty():检测变量是否为空
urldecode():解码 URL 字符串函数,用于解码给出的已编码字符串中的任何 %##以及中文等被编码的内容。 (加号('+')被解码成一个空格字符)。
md5():计算字符串的 MD5 散列
setcookie(name,value,expire,path,domain,secure):向客户端发送一个 HTTP cookie
name 必需。规定 cookie 的名称。
value 必需。规定 cookie 的值。
expire 可选。规定 cookie 的有效期。
path 可选。规定 cookie 的服务器路径。
domain 可选。规定 cookie 的域名。
secure 可选。规定是否通过安全的 HTTPS 连接来传输 cookie。
于是可以知道要获取flag要满足:
urldecode($username) === "admin"
urldecode($password) != "admin"
$COOKIE["getmein"] === md5($secret . urldecode($username . $password))
5、这里将两个东西串起来的就是secret,在服务器发送给客户端的数据中,有一个对secret+"adminadmin"进行加密后的md5编码,我们在burpsuite中可以收到,是:
571580b26c65f306376d4f64e53cb5c7
6、因此想满足条件的话,要构造getmein,首先看一下md5加密的方式:
(1)数据填充
对消息数据进行填充,使得最终数据位数(2进制)对512取模得448(若为16进制,即对64取模56),若不够,则填充为1+0...0(十六进制为填充80+00...00),第一位为1,其余为0。
(2)添加消息长度
在第一步得到结果之后,后面补充原来消息的长度(需要被加密的字符串的长度),可以存储2^64长度大小的,若大于,则取低64位(2进制),此时刚好为512位的整数倍。
(3)加密处理
4个常数:
A = 0x67452301
B = 0xEFCDAB89
C = 0x98BADCFE
D = 0x10325476
消息每512位(2进制)分为一组进行处理,每个分组进行4轮变换,如下:
F(X,Y,Z)=(X&Y)|((~X)&Z)
G(X,Y,Z)=(X&Z)|(Y&(~Z))
H(X,Y,Z)=X^Y^Z
I(X,Y,Z)=Y^(X|(~Z))
说的不是很详细,有空可以专门开一篇文章讲md5,可看图辅助:
7、因此我们要进行长度扩展攻击,百度的解释为:获取输入消息,利用其转换函数的内部状态;当所有输入均处理完毕后,由函数内部状态生成用于输出的散列摘要。因而存在着从散列摘要重新构建内部状态、并进一步用于处理新数据(攻击者伪造数据)的可能性。如是,攻击者得以扩充消息的长度,并为新的伪造消息计算出合法的散列摘要。
8、使用hashpump,在linux下安装:
git clone https://github.com/bwall/HashPump
apt-get install g++ libssl-dev
cd HashPump
make
make install
9、使用hashpump:
给出的结果就是password和哈希值。
哈希值得到的为:8105b6835d73201b62f791b82bd339b3
password为:
admin\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x00\x00\x00\x00\x00\x00\x00angel
Input Signature:填写hash值。
Input Data:这里数据就是admin
Input Key Length:20(secret是密文,长度为15,如果再算上后面第一个admin,长度就是20)
Input Data to Add:随便添加(一位以上)
10、因为题目对password要进行decode,将password进行反decode,\x换成%。
得到:
admin%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%c8%00%00%00%00%00%00%00angel
11、使用burpsuite提交:
小结:学到了长度扩展攻击,md5编码,新工具hashpump