權限
【題目描述】:你是管理員嗎?
【解題鏈接】:http://ctf4.shiyanbar.com/web/root/index.php
首先看題,提到“權限”,“管理員”,這就是說涉及到管理員的賬戶和密碼
以下是網頁界面,可以看到地址欄里面是.PHP結尾,是用php寫的一個網頁,並且已經給出了管理員的用戶名,這無疑就簡單了一點,省去了我們自己找用戶名的麻煩(嘿嘿,用戶名就給你了,有本事就破出來啊!!!)
做Web題我們首先要要做的事就是看網頁源碼
中間都是空白,我們拉到最低就有了新發現——>
我們發現了一個password.txt,將這段代碼復制到原網頁地址欄后面
然后回車后就打開了一個文件如下:
我們可以發現這就是密碼字典,將字典復制下來保存到txt文件里
接下來就是到到我們動用工具的時候了(BurPsuite)
我們先配好網絡代理(我用的是火狐)
隨意輸入一個密碼然后點擊確認抓包
我們只留下密碼的標識節點
設置好變量信息之后,開始設置密碼字典,選擇“PayLoad”選項卡,在“Payload Option”區域單擊“Load”按鈕載入字典文件。
然后選擇,自動進行破解
一個一個檢查過去后我們發現第82個的信息量與眾不同
那就說明這個就可能是登錄密碼,我們輸入到網頁界面試試
username=admin&password=Nsf0cuS
但是我們在粘貼的時候發現只能輸入5位,但我們破解出的密碼是7位,
這就需要我們進行一番修改了
調出控制台
發現代碼里將長度進行了限制,我們把長度改大就可以了
但是顯示出“這里沒有flag哦!”,那么我們就要尋找別的出路了
我們繼續分析一下之前通過字典得到的信息發現如下:
在cookie里我們發現“newpage”,也就是新網頁,等號后面的一段紅色標識我們可以發現是經過加密的,對他解密試試
MjkwYmNhNzBjN2RhZTkzZGI2NjQ0ZmEwMGI5ZDgzYjkucGhw
解密后得到:
290bca70c7dae93db6644fa00b9d83b9.php
這明顯是地址,我們同樣像之前一樣替換到原網頁的地址欄里
回車后我們發現到了一個留言板內,這大概就是涉及到留言板漏洞
我們先隨意留言試試
但是他提示“你還沒有登錄,不能留言!”
這就說明我們的權限不夠,那就要找更高權限的賬號了
下面我們的目標就是獲取管理員賬號
我們依然用BP抓包
抓包后分析發現
IsLogin=0
我們將它改為“1”
因為提示的是用戶名是“guest(客人)”,說明用戶權限不夠,
那么什么用戶的權限是最高的?
無疑是root,那么我們改為root就好,然后“GO”一下就好
我們繼續分析得到的結果:
瞧!Flag就在這里,
Flag=flag%7BC0ngratulati0n%7D
但這個並沒有結束,我們知道,在URL編碼里“%”就是“{”“}”
所以flag的正確格式是:
flag{7BC0ngratulati0n}