v5le0n9's garden

小凉的秘密基地

黑客丛林之旅小游戏

发表于 更新于 分类于
本文字数: 6.2k 阅读时长 ≈ 6 分钟

黑客丛林之旅

1-http://www.fj543.com/hack/?level=1

提示语:在浏览器端用脚本进行身份验证是很容易被破解的。(The Client-side authentication is not secure) 

1
2
3
4
5
6
<script type="text/javascript">
function gogogo(){
	var pwd=document.getElementById("pass").value;
	if (pwd=="go8990") {alert("OK,过关了!");window.location="./?level=222";} else {alert("Error:密码错误!");document.getElementById("pass").focus();}
}
</script>

2-http://www.fj543.com/hack/?level=222

提示语:这讨厌的脚本,为什么阻止我!(I hate the script,it prevents me) 

1
2
3
4
5
6
7
8
9
10
11
12
13
<script type="text/javascript">
function chkPassword(){
	var pwd=document.getElementById("pass").value;
	if (pwd=="") {alert("Error:密码不能为空!(Input password please)");}else{alert("Error:密码不能填东西!(Don't input password please)");} //无论输入什么内容,就是不让你提交!
	return false;
}
</script>
<form action="./" method="post" onsubmit="return chkPassword()">
输入密码进入下一关 (Input password please)<br>
<input type="password" name="pass" id="pass" value="">
<input type="hidden" name="act" id="act" value="pass2">
<input type="submit" value="Go">
</form>

script标签里的东西改不了,将表单的return chkPassword()删掉即可。

3-http://www.fj543.com/hack/?level=3login

您还没有登录,所以看不到本页的秘密。(You must login to see the secret of this level)

提示语:这该死的网页,凭什么说我没有登录?(Damn page! Why you say that I didn’t login?)

在cookie管理器或抓包改cookie,no改成yes即可。

1
Cookie: ASPSESSIONIDCSSDDSRA=KDLFDAJCJMFKCDDFPJOBMEFA; Hm_lvt_ddc172cd878cb9d6da5a109ab508be16=1631447102; Hm_lpvt_ddc172cd878cb9d6da5a109ab508be16=1631447282; guoguan=2; login=no

4-http://www.fj543.com/hack/?level=4ditdah

1
2
3
4
5
6
. .
. _
_ _
_ _ _
_ . _
提示语:向嘀嗒嘀嗒的电子时代老一辈黑客们致敬。(Tribute to the early hackers)

摩斯电码IAMOK

5-http://www.fj543.com/hack/?level=5crack

提示语:用流行的加密算法把密码加密成YmFzZTY0aXNvaw==或ad93c1d102ae60f4的形式并不可靠。(Encrypting a password by a popular encryption method is not secure)

YmFzZTY0aXNvaw==有大小写和等号,考虑base64base64isok

ad93c1d102ae60f4是MD5520530,但用520530过不了关???

6-http://www.fj543.com/hack/?level=6por

if mstsc+vnc=9290 then password=MSSQL+MySQL+Oracle
password= ?

提示语:有些常见的数字要记住。(You should remember some numbers)

常见端口号:

1
2
3
4
5
mstsc:3389
vnc:5901
MSSQL:1433
MySQL:3306
Oeacle:1521

password=1433+3306+1521=6260

7-http://www.fj543.com/hack/?level=75901

提示语:眼花缭乱了吧,看电视的时候怎么不会啊!(The password is about a TV program)

一张GIF动图,拿去Stegsolve把它拆了analyse->frame browser,拆成6张图,组合起来为8bIGNOREwmUPPERCASEqneWORDS,大写字母的意思是ignore upper words忽略大写字母,所以正确答案为8bwmqne

8-http://www.fj543.com/hack/?level=8bwmqne

吴世昌的弟弟的网名是什么?(What’s the username of WuShichang’s little brother)

提示语:小小社工,过这一关主要靠人脑,电脑只是辅助。(Social Engineering.Use your brain more,and use computer less)

吴世昌的弟弟叫吴其昌,吴世昌的网名fj543,推测吴其昌的网名为fj573

9-http://www.fj543.com/hack/?level=91ie543

提示语:使用IE 5.43版本的浏览器访问?level=9token可以得到令牌。(Use IE 5.43 version to browse ?level=9token)

抓包改URL和浏览器

1
2
3
GET /hack/?level=91ie543 HTTP/1.1
Host: www.fj543.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0

改为

1
2
3
GET /hack/?level=9token HTTP/1.1
Host: www.fj543.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 IE 5.43

您的令牌(Token):level9495216

回到原来的URL输入令牌。

10-http://www.fj543.com/hack/?level=g1012495216

提示语:请下载令牌生成器(Token Generator)。解压密码不长,但很复杂。(Download it.The zip password is short,but very complex)

去winhex查一下是不是真加密,真加密就爆破zip,结果为o0_O。输入密码,执行exe程序生成口令。但当我们点击aux.10.txt后它说找不到文件,用什么文字编辑器都打不开。wp说它属于特殊文件名,只能用cmd打开:

1
2
3
4
5
#type指令打开常规方法无法打开的文件
type \\.[txt文件的绝对路径]
type \\.\C:\Users\dell\Desktop\10token\aux.10.txt
你的令牌(Token):key104957591
只在今天有效(It's available only today)

11-http://www.fj543.com/hack/?level=lv11

提示语:一个表情,却是有声有色。(I like the beautiful face and the voice)

用winhex打开看到字符串

GIF89a……——————————password end,and password start——————————RIFF$WAVEfmt

前面是GIF图片,后面RIFF$WAVEfmt是音频文件格式。用winhex将前面的GIF部分删除,剩下的另存为.wav文件,音频说表情加上6688,我的是微笑表情,所以smile6688通过。

12-http://www.fj543.com/hack/?level=g1213495759

您需要获取两个临时ID的认证,才能看到本关的秘密!(You should get two Authentication)
1.下载第12关认证软件,用它申请认证一个软件临时ID.(Download it. And use it to Authenticate the TempID of software)
2.回到此窗口,想办法手工申请认证你的网页临时ID.(Then back to this window.Try to Authenticate the TempID of web)

提示语:你的网页临时ID是191.半小时内有效,若失效请刷新网页。(This is your TempID of web)

下载解压后win10一定一定要以管理员身份运行,否则根本打不开!

临时ID:455

在线认证开始(Started)

验证第一步(step1)…Step1 ok

验证第二步(step2)…Step2 ok

已完成软件临时ID的认证。接下来请回到浏览器中申请网页临时ID的认证。(Software TempID is authenticated.Please back to the browser window.Try to Authenticate the TempID of web)

什么都没有,就给了个临时ID,先用winhex打开看看

User-Agent: Mozilla/4.0 (compatible; HackersGameBrowser)

http://www.fj543.com/hack/ 寶翄,{Nek(step1) ?act=step1&code= 寶翄,{孨ek(step2) ?act=step2&code= step1ok step2ok

可以看到关键信息?act=step1&code=?act=step2&code=,提交链接应该就是这些。

先把刚才的软件临时ID构造http://www.fj543.com/hack/?act=step1&code=455,但会出现以下错误:

Error:你的临时ID应该是162.(Your TempID should be this one)

抓包把User-Agent换成上面那个就可以了。

Step1 ok

接下来获取第二个临时ID,猜测http://www.fj543.com/hack/?act=step2&code=455显示

Error:Bad Code

现在已知code总是3位数,那就直接爆破。有些code都返回了Step2 ok但怎么进去下一关啊?感觉是bug。找到状态302,就是正确code,在URL上打就刷新出第13关入口。

13-http://www.fj543.com/hack/?level=13sql

你的ID是(Your ID): 154
你的密码(Your password):

提示语:请从/hack/13sql.asp挖掘出这个ID对应的密码。(Try to find the password for the ID)

去到http://www.fj543.com/hack/13sql.asp

这是一个数据库信息查证页面,提交一个ID,会显示查询结果。(Submit an ID,then it will show you the query result)

数据库中有这条信息,但我不能直接告诉你密码。(The data exists.But I can’t show you the password)

POST形式的SQL注入,也可以用sqlmap自动化注入,参数可以抓包看

1
2
sqlmap -u http://www.fj543.com/hack/13sql.asp --data="id=154&password=111" --batch
sqlmap -u http://www.fj543.com/hack/13sql.asp --data="id=154&password=111" --batch --tables

自动化注入好像不行,开始手注。

输入1

数据库中有这条信息,但我不能直接告诉你密码。

输入1 and 1=1

数据库中有这条信息,但我不能直接告诉你密码。

输入-1

没有找到此ID对应的内容。

输入-1 or 1=1

数据库中有这条信息,但我不能直接告诉你密码。

反正就不告诉我,普通手注从网页中返回不了有效信息,大佬们wp中的思路:猜密码的字段名为pwd,构造154 and pwd like '%a%',抓包,将$a$暴力破解。我猜意思是pwd是由暴力破解得出的字符组成的。

id=154+and+pwd+like+%27%25a%25%27

id=154+and+pwd+like+%27%25$a$%25%27

破解发现bdguvBDGUV都有,我猜密码是5个字符,不区分大小写。

1
2
3
4
5
6
7
8
import itertools
f = open("bdguv.txt", "w")

for i in itertools.permutations('bdguv', 5):
    c = ''.join(i)
    f.write(c+'\n')

f.close()

回到http://www.fj543.com/hack/?level=13sql抓包,设置参数用bdguv.txt爆破。返回状态302的即是正确密码。

14-http://www.fj543.com/hack/?level=14crack

令牌下载下来的名字file.exe.html,将html删去,运行一下,让我们输入密码。扔去OD看看字符串:右键->中文搜索引擎->智能搜索

可以看到一些奇怪的字符串,组合起来为love543,估计这个就是密码,输入就可得到令牌。

通关。