记某次CTF中Let me in✨

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 记某次CTF中Let me in✨

“人都有各自的月亮”

image.png

🙋出题思路

本题考核的是WEB前端加密绕过,该场景在平常的工作中经常遇到,如果不完成解密操作无法进行下一步的测试。解题需要选手使用工具或者脚本实现加密进行爆破和越权,test账户的密码使用AES对称加密,密钥在混淆过的javascript代码中生成固定的密钥,可以实现该加密过程对登录进行爆破,也可以使用Burpsuite的插件进行加密爆破,如AESKiller、Crypto  Messages Handler等,为了防止大家没有该弱口令,在robots.txt中预留了字典目录,但是该字典需要去重,你学会了吗?

💁解题技巧

访问题目发现这有flag ,提交了flag不正确。题目肯定不会是真没谁水的。(狗头)

image.png

上kali扫描目录,用 dirsearch就是干

image.png

发现敏感文件robots.txt 访问 robots.txt,我日有密码字典ddddddddddddddd_password.txt,心想这他妈不久好办了嘛,肯定爆破

image.png

image.png

字典有重复,需要去重cat passwd.txt | sort -u,去重结果只剩 203 个不重复的密码。

image.png

访问/Server 发现登陆页面,输入 admin/admin 直接丢进BP

image.png

大事不妙发现密码做了加密处理,F12 分析 js,发现 AES 加密特征。

image.png

对称加密需要密钥,分析代码发现生成密钥函数为 confusion,动态调试获取密钥为3602879701896397,加密模式为 ECB。

image.png

拿到密钥,使用 burp 插件 AESKiller 配置密钥。

image.png

启动插件之后,重新抓包,会拿到一个修改过的数据包

image.png

发送到 intruder 模块,开始爆破,有了密码,加载一个用户名字典一起跑

image.png

image.png

用户名为 test,密码为 123987,登录成功之后发现一个查询页面。

image.png

输入 test 抓包

image.png

发现加密参数,直接使用插件的解密功能解密。

image.png

修改 userid 和 username 为 admin

image.png

使用修改的参数查询,拿到 flag 为

flag{876fedc30e062a4667d2df26f75003cb}


👬 涉及的工具

  • 后台扫描工具dirsearch或者御剑
  • BP爆破
  • burp 插件 AESKiller 加密爆破

📧 总结

  • 扫后台发现敏感文件
  • 密码爆破
  • 对javascript代码中生成固定的密钥使用Burpsuite的插件进行加密爆破
  • 这题的难度就在js代码生成的密钥函数 confusion、发现加密模式为 ECB,只要会加密爆破有了突破口


相关文章
|
1月前
【剑指offer】编程习题集附上答案
【剑指offer】编程习题集附上答案
16 3
|
6月前
|
传感器
蓝桥杯真题代码记录(管道
蓝桥杯真题代码记录(管道
41 2
|
6月前
|
前端开发 API C++
完结撒花啦
完结撒花啦
|
6月前
|
算法
重要的话说三遍 (2016)
重要的话说三遍 (2016)
40 0
|
存储
《操作系统概论》第一遍阅读
前言: 《操作系统概论》从操作系统实现资源管理的观点出发,产生如何对计算机系统中的软硬件资源进行管理,要求我们理解操作系统要做什么,怎么样去做。学习操作系统概论是在米老师给我们讲完《信息资源管理》学习后按照老师所讲的方法来学习的,所以这次阅读,都是按照老师的指导一步一脚一脚印完成的。感觉很好。
C/C++ leetcode刷题的各种小tips记录
C/C++ leetcode刷题的各种小tips记录
136 0
|
缓存 数据安全/隐私保护 C++
两道挺有意思的 CTF 题
两道挺有意思的 CTF 题
|
人工智能
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事(二)
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事(二)
77 0
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事
63 0
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事(三)
关于临时HY学长被安排拉二分题不想翻译找到DYM学长这件事(三)
69 0