Bootstrap

靶场练习之hackinglab(鹰眼)-基础题

说明

鹰眼系统的地址是:http://hackinglab.cn/index.php,需要注册然后进行练习。本篇先进行基础题的练习记录

1、寻找key在哪里

    第一题中,点击过关地址,访问之后是一个接近空白的页面。key的位置肯定是隐藏在页面中,于是祭出burpsuite抓个包看一下。在返回的html页面中,key果然被隐藏了<!--key is jflsjklejflkdsjfklds-->,现在输入 jflsjklejflkdsjfklds提交。

2、再加密一次就可以得到key了

    第二题中给出了key加密之后的密文是xrlvf23xfqwsxsqf,结合题目提醒再加密一次你就得到key了,说明key加密之后得到密文,密文再加密就得到明文。其中rot13加密算法就是双重加密得明文。

    借助一个在线rot13加解密网站,输入密文得到明文:keyis23ksdjfkfds,第一次全部输入报错了,然后输入了keyis之后的部分成功了。

3、猜猜这是经过了多少次加密

Vm0wd2QyUXlVWGxWV0d4V1YwZDRWMVl3WkRSV01WbDNXa1JTVjAxV2JETlhhMUpUVmpBeFYySkVUbGhoTVVwVVZtcEJlRll5U2tWVWJHaG9UVlZ3VlZacVFtRlRNbEpJVm10a1dHSkdjRTlaVjNSR1pVWmFkR05GU214U2JHdzFWVEowVjFaWFNraGhSe......(此处省略一万字)TlrUjBaSFkwZDRhRTFZUWpWV2JYQkRXVlpWZVZSdVRtcFNWMmhVV1d0Vk1XTkdXblJrU0dSWFlrWnNORmRyVWtOWGJGbDRVbXBPVldKR2NISldNR1JMWXpGT2NrOVdaR2hOVm5CTlZqRmFZVmxYVWtoV2ExcGhVbFJzVkZscmFFSmtNV1J6Vm0xR2FFMVdjRmxWTW5SaFlXeEtXR1ZIUmxWV1JUVkVXbFphVjFJeFNsVmlSa1pXVmtSQk5RPT0=

    既然让猜解加密次数,而不是解密或者加密方式,那肯定是用的最普通的加密方式,而且可以通过遍历的方式进行测试,相信大家看到字符串第一印象就是base64了,那我们写个如下的python脚本破解一下:

import base64
encrypt_string="题目给出的字符串"
for i in range(22):
for i in range(22):
    try:
        tmp_string = base64.decodestring(encrypt_string)
        encrypt_string = tmp_string
        print("{0} ->{1}".format(i, tmp_string))
    except:
        print("over size is:{0}".format(i))
        break

    最后打印的

    key is jkljdkl232jkljkdl2389
    over size is:20,20是抛出异常的次数,从0开始的话,那正确的加密次数应该是20次。输入20却告知错误,换输入jkljdkl232jkljkdl2389成功,进入下一题。

4、据说MD5加密很安全,是真的吗

    这是一道典型的MD5猜解的题目,MD5值为:e0960851294d7b2253978ba858e24633。如果有什么弱口令的字典可以拿来爆破一下,题主偷个懒,网上随便找了一个MD5碰撞解密的网站,输入MD5值得到明文:bighp。

5、绕过访问限制

    题目中给出了跳转链接:http://lab1.xseclab.com/base1_0ef337f3afbe42d5619d7a36c19c20ab/index.php,访问该地址时页面进行了访问阻止,提醒国外才可以访问。

    初步猜测应该是做了ip地址限制,通过仔细观察题目链接可以发现,题目中跟随了一个32个字节的字符串,初步猜测应该是ip地址的md5值,找了国外的地址做了md5计算发现页面找不到。

    现在猜测可能是后台真的做了ip地址的校验,可后台拿到的是路由器的地址(国内的地址),于是伪造一份经过代理的访问数据包,在http请求头中加入X-Forwarded-For字段,让后台误以为终端的真实ip地址其实是国外的,修改之后发现还是不可以。

    后来找了几遍请求数据包的内容,唯一跟中国有关系的就是语言字段,于是将zh_CN,zh修改为en_US,en,重新发送请求拿到了返回值:key is: *(TU687jksf6&*

    个人感觉该题目修改为使用X-Forwarded-For和X-Real-IP对应的ip地址做限制的方式会更好一些。

6、HAHA浏览器

    题目中要求访问给出的链接地址,只允许使用HAHA浏览器,猜测修改一下User-Agent就可以了。现在访问该地址:http://lab1.xseclab.com/base6_6082c908819e105c378eb93b6631c4d3/index.php,使用burpsuite拦截一下,然后修改User-Agent加入HAHA。

    显示的结果为:key is: meiyouHAHAliulanqi

7、高级寻找key

    又是一道寻找key的题目,访问寻找链接:http://lab1.xseclab.com/base7_eb68bd2f0d762faf70c89799b3c1cc52/index.php。我们使用burpsuite拦截一下:

    我们发现key就在返回的http响应包的包头部分,Key: kjh%#$#%FDjjj。

8、key又找不到了

    访问给出的寻找key的链接:http://lab1.xseclab.com/base8_0abd63aa54bef0464289d6a42465f354/index.php,我们发现另一个链接地址,点击另一个链接地址并使用burpsuite拦截一下。

我们在响应的包中发现了提示语,以及key_is_here_now.php文件,现在构造新的访问请求:http://hacklist.sinaapp.com/base8_0abd63aa54bef0464289d6a42465f354/key_is_here_now_.php,发起访问并在页面发现:key: ohHTTP302dd

9、冒充登录用户

    根据题目的提示是要求使用者冒充登录用户登录进去寻找key,点击链接的时候使用burpsuite进行一下拦截。

    修改后重新发起访问,得到:key is: yescookieedit7823789KJ    

10、比较数字大小

    题目要求只要比服务器上的数字大就可以了,点击链接发现进入了:http://lab1.xseclab.com/base10_0b4e4866096913ac9c3a2272dde27215/index.php,该页面有个输入框以及提交按钮,只要输入一个大点的数字就被前端限制了。现在随便输入一个数字发起请求,并使用burpsuite拦截修改数字值。

    重新发送请求,返回结果:key is 768HKyu678567&*&K

11、访问80端口

    该题目的提示是80端口只允许本地访问,要求绕过80端口的ip限制成功访问页面。点击给出的链接并使用burpsuite进行拦截。

    我们可以发现后台的逻辑代码其实是根据请求头中的X-Forwarded-For后面的第一个值来判断的,不过根据echo的提示已经可以得到结果为:key is ^&*(UIHKJjkadshf,不需要重新构造请求了。

12、找网站入口

    从一个页面找网站的登录页,点击链接:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/index.php,并使用burpsuite进行拦截,没有发现任何信息。从网上搜索了一下题解,发现该题目是隐含在robots.txt文件中。

    访问http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/robots.txt,看到页面返回了 :Disallow: /9fb97531fe95594603aff7e794ab2f5f/。

    重新构造请求:http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/,页面返回you find me,but I am not the login page. keep search.信息,其中包含login提示语,于是再构造请求http://lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php,发送请求返回right! key is UIJ%%IOOqweqwsdf,终于终于找到key了。

;