Bugku-web(bp)

WriteUp1

题目信息

解题思路

打开页面,是一个登录页面

源码审计发现是个 form 表单提交

抓包,随便填写个密码提交观察

右键发送到重放器

点击发送

观察响应结果

发现有个 success.php 的页面,根据 JS 代码的 window.location.href 后面的地址知道,应该是访问服务器根路径下的 success.php 文件并携带查询参数

code 不等于 bugku10000 它才会走到 else,它来帮我们跳转到 success.php 并携带一个 code

所以猜测当账户密码正确时,会返回一个正确的code,错误时会返回bugku10000

猜测代码如下:

php 复制代码
<?php
// 获取提交的账号和密码
$username = $_POST['username']; // 假设表单字段名为username
$password = $_POST['password']; // 假设表单字段名为password

// 验证逻辑 - 实际中可能是查询数据库
$isValid = false;
// 这里是实际的验证过程,比如查询数据库比对账号密码
// if (查询数据库验证成功) {
//     $isValid = true;
// }

// 根据验证结果设置不同的code
if ($isValid) {
    // 账号密码正确,生成一个有效的code
    $code = generateValidCode(); // 生成类似'hacker1000'的有效code
} else {
    // 账号密码错误,设置错误code
    $code = 'bugku10000';
}

// 输出HTML页面,包含生成的code
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>登录检测</title>
  <meta name="renderer" content="webkit">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
  <link rel="stylesheet" href="layui/css/layui.css"  media="all">
  <style>
  </style>
</head>
<body>
<div id="d"><div>
<script>
  var r = {code: '<?php echo $code; ?>'}
  if(r.code == 'bugku10000'){
        console.log('e');
	document.getElementById('d').innerHTML = "Wrong account or password!";
  }else{
        console.log('0');
        window.location.href = 'success.php?code='+r.code;
  }
  
  </script>
</body>
</html>

所以要爆破出来正确的密码,让 check.php 判断账号密码正确了才能有对的 code

所以使用密码字典开始尝试

题目中提示弱密码T1000,以z开头,把 z 开头密码挑出来然后在 burpsuite 里爆破 check.php 看结果

python 复制代码
f = open('中国网民-弱密码字典 T1000.txt', 'r') # 文件名换成自己实际的
wf = open('以z开头的密码.txt', 'w') 

str = f.read()
list = str.split('\n')

for item in list:
    if item.startswith('z'):
      print(item)
      wf.write(item + '\n')

结果如下

拿着新字典去爆破试试密码

右键发送到Intruder

添加payload

导入字典

点击开始攻击

发现响应的 length 全都一样长

已知 bugku10000 是不对的,而且刚才的 JS 代码告诉我们只要 code 的值不是 bugku10000,就会走 success.php 了,所以让 burpsuite 筛选下字符里不包含 bugku10000 的其他 code 值。或者一个一个点击查看每个密码的响应结果,看哪一个返回的code不是 bugku10000。

这里发现当密码为zxc123时返回结果不是bugku1000

当然,如果密码有很多的话,显然一个一个查看太费时间

应该筛选下字符里不包含 bugku10000 的其他 code 值

点击设置,找到检索匹配

勾选响应匹配的项

填写查找的字符串,点击添加

开始爆破观察特殊的 code 列

发现最后一个返回结果不一样

页面中输入密码zxc123

使用工具

Burp Suite

Pycharm

弱密码T1000

Flag

flag{94a3caa988cc28971f5d61c33c206e56}

总结

通过本题学到:

抓包

爆破

查找匹配

相关推荐
湮w2 天前
JavaWeb(三)JavaScript详细讲解
java·javascript·web
还是鼠鼠3 天前
AI掘金头条新闻系统 (Toutiao News)-缓存相关推荐新闻
后端·python·mysql·fastapi·web
曲幽3 天前
从卡顿到丝滑:FastAPI 调用外部 API 的正确姿势(httpx 实战)
python·fastapi·web·async·httpx·client·await·requests·aiohttp
seven_stars_5 天前
Kali 无法启动自带的BurpSuite
kali·burpsuite
还是鼠鼠6 天前
AI掘金头条新闻系统 (Toutiao News)-缓存新闻详情
后端·python·mysql·fastapi·web
曲幽12 天前
你的REST接口还在“过度投喂”数据吗?——FastAPI + GraphQL实战避坑指南
python·fastapi·web·graphql·route·cors·rest·strawberry
带刺的坐椅14 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·springboot·web·solon
曲幽18 天前
刚部署的 LibreTranslate 频频翻车?我掏出了 20 年前的 StarDict 词典,用 FastAPI 搭了个本地词典翻译 API
python·fastapi·web·translate·goldendict·libretranslate·stardict·pystardict
曲幽19 天前
别再用网页翻译看源码了!你的私人翻译神器LibreTranslate,部署避坑指南来了
python·docker·web·pot·translate·libretranslate·arogstranslate
llz_11224 天前
web-第四次课后作业
前端·spring boot·web