web入門-爆破-創新互聯

文章目錄

web21
web22
web23
- python腳本
- php腳本
web24
web25
web26
web27
web28

成都創新互聯專注于企業全網整合營銷推廣、網站重做改版、通遼網站定制設計、自適應品牌網站建設、html5、成都做商城網站、集團公司官網建設、外貿網站制作、高端網站制作、響應式網頁設計等建站業務，價格優惠性價比高，為通遼等各大城市提供網站開發制作服務。web21

進入網站，提示要登陸，妥爆破
抓包

注意到最下行的base64編碼
發現就是剛剛輸入的賬號密碼

因此這里就是要選擇爆破的地方了
發給inruder，添加爆破位

載入題目給的字典，并且添加爆破的規則

爆

web22

略

web23

代碼審計

題目很簡單，只要能滿足以上條件即可輸出flag
但是仍需要一定的編寫代碼能力
ctf里，能夠用工具解決的都是簡單題，所以編寫代碼的能力是很重要的，希望大家別做腳本小子，多親自寫寫，相信一定會有不同的感悟和提升
這里我給出兩種方法

python腳本

import requests
import string
strings=string.ascii_lowercase+string.digits
for i in strings:
    for j in strings:
        url = "http://08945b13-a3f3-425d-a7c5-ae238e8ec15a.challenge.ctf.show/?token="+str(i)+str(j)
        res = requests.get(url=url)
        if 'ctf' in res.text:
            print(res.text)
            exit()

這種方法比較慢，但更簡單更容易理解，推薦新手使用

php腳本

這個腳本優點是速度更快，但需要一定的php基礎
以上兩種方式都是可以的

web24

源碼：

這里搜索一下mt_strand()函數：

即生成隨機數
其實說是隨機數，但并不是真正的隨機，這里其實生成的是偽隨機數
如何理解？
首先我們要知道，計算機不能產生絕對的隨機數，只能產生偽隨機數。偽就是有規律的意思。偽隨機數就是說計算機產生的隨機數是有規律的。那么計算機是怎么產生隨機數的？當然是通過算法，這個算法是有映射關系的，如我放進1234，他會出來一個特定的數。
而系統實現隨機數是把當前的系統時間放進去，每次時間都不一樣，所以可以實現每次出來的數都不一樣。如果你每次都放進一樣的種子，生成的隨機數列就是一樣的了。
也就是說，你在不同的電腦上輸入同樣的種子（比如1234），輸出的隨機數是一致的
也就是說這道題里產生的隨機數其實是固定的
自己電腦上生成一下

這里還要注意一個細節，你所使用的php版本要和服務器的一樣，生成的偽隨機數才能一致