密码学 on 知识带给我们自由

BUUCTF Rabbit 1

Tue, 21 Oct 2025 13:21:08 +0000

相关阅读 CTF Wiki

题目描述：

注意：得到的 flag 请包上 flag{} 提交

密文：

1

U2FsdGVkX1/+ydnDPowGbjjJXhZxm2MP2AgI

解题思路：

1、根据题目直接得到编码方式，Rabbit编码，使用在线工具进行解密。 Rabbit在线工具

2、得到flag。

flag：

1

Cute_Rabbit

Rabbit加解密算法：

密钥 - 共享的绝密暗号
- 你和你朋友事先约定好一个绝密暗号，比如 “巧克力蛋糕真好吃” 。这个暗号就是 “密钥” 。
- 在 Rabbit 算法里，密钥是一串 128 位的数字（比如 2B7E1516... ），长度固定，是加解密的根本，绝对不能泄露。
初始化向量 - 本次通信的页码
- 为了更安全，你们决定每次通信都用密码本的不同页。于是你打电话告诉朋友：“今天我们用密码本的 第58页 开始。” 这个“第58页”就是 “初始化向量” 。
- 在 Rabbit 算法里，IV 是一串 64 位的数字。它的作用是确保即使用同一个密钥加密两份相同的内容，也会得到完全不同的密文。就像用同一个密码本，但从不同页开始，写出的密码也不同。
Rabbit 机器的工作 - 生成“密码流”
- 现在，你把密钥（“巧克力蛋糕真好吃”）和 IV（“第58页”）输入到一台叫做 Rabbit 的神奇机器里。
- 这台机器会轰隆隆地运转起来，内部有很多齿轮和计数器（这就是算法的内部状态），根据你给的“暗号”和“页码”，它开始疯狂地吐出一长串、完全随机、没有规律的 “密码流” 。
- 这个密码流就像： X5j9!kLm@qR3tW#z... （无穷无尽）。
加密 - 编写密码信
- 现在你开始写原始信件（明文）： “明天下午三点公园见”
- 然后，你拿出 Rabbit 机器生成的“密码流”，将信上的每一个字和密码流上的每一个字符进行 “一对一混合” （在计算机里是做“异或”运算）。
- 混合后，你原本清晰的信件就变成了一堆毫无意义的乱码（密文）： “敨晑佢歮湤歮”
解密 - 还原密码信
- 你的朋友收到了这堆乱码和你的电话通知（IV=“第58页”）。
- 他也有同样的 Rabbit 机器，并且知道你们的共享暗号（密钥=“巧克力蛋糕真好吃”）。
- 他把密钥和 IV 输入机器，机器会生成 一模一样 的“密码流”： X5j9!kLm@qR3tW#z...
- 他再用这个密码流和乱码（密文）进行 完全相同的“混合”操作 ，神奇的事情发生了，乱码又变回了清晰的原信： “明天下午三点公园见” 。

BUUCTF [DDCTF2018](╯°□°）╯︵ ┻━┻ 1

Mon, 11 Aug 2025 08:30:00 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

保存附件为attachment.txt

1
2
3
4
5
6


(╯°□°）╯︵ ┻━┻
50pt

(╯°□°）╯︵ ┻━┻

d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd

解题思路：

1、观察密文，134个字符，猜测为十六进制的数据，先两位截取。

1

hex列表：['d4', 'e8', 'e1', 'f4', 'a0', 'f7', 'e1', 'f3', 'a0', 'e6', 'e1', 'f3', 'f4', 'a1', 'a0', 'd4', 'e8', 'e5', 'a0', 'e6', 'ec', 'e1', 'e7', 'a0', 'e9', 'f3', 'ba', 'a0', 'c4', 'c4', 'c3', 'd4', 'c6', 'fb', 'b9', 'b2', 'b2', 'e1', 'e2', 'b9', 'b9', 'b7', 'b4', 'e1', 'b4', 'b7', 'e3', 'e4', 'b3', 'b2', 'b2', 'e3', 'e6', 'b4', 'b3', 'e2', 'b5', 'b0', 'b6', 'b1', 'b0', 'e6', 'e1', 'e5', 'e1', 'b5', 'fd']

将十六进制数据转换为十进制。

1

十进制列表：[212, 232, 225, 244, 160, 247, 225, 243, 160, 230, 225, 243, 244, 161, 160, 212, 232, 229, 160, 230, 236, 225, 231, 160, 233, 243, 186, 160, 196, 196, 195, 212, 198, 251, 185, 178, 178, 225, 226, 185, 185, 183, 180, 225, 180, 183, 227, 228, 179, 178, 178, 227, 230, 180, 179, 226, 181, 176, 182, 177, 176, 230, 225, 229, 225, 181, 253]

发现十进制数据都大于128，减去128，再转为字符串。

1

-128得到ASCII十进制dec列表：[84, 104, 97, 116, 32, 119, 97, 115, 32, 102, 97, 115, 116, 33, 32, 84, 104, 101, 32, 102, 108, 97, 103, 32, 105, 115, 58, 32, 68, 68, 67, 84, 70, 123, 57, 50, 50, 97, 98, 57, 57, 55, 52, 97, 52, 55, 99, 100, 51, 50, 50, 99, 102, 52, 51, 98, 53, 48, 54, 49, 48, 102, 97, 101, 97, 53, 125]

转为字符串，得到flag。

1

最终答案：That was fast! The flag is: DDCTF{922ab9974a47cd322cf43b50610faea5}

解密脚本如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38


# @Author：YueXuan
# @Date  ：2024/10/8 22:00

def split_into_hex_pairs(s):
    """将输入字符串切片成每两个字符一组的列表"""
    return [s[i:i+2] for i in range(0, len(s), 2)]

def convert_hex_to_int(hex_pairs):
    """将十六进制列表转换为十进制整数列表"""
    return [int(pair, 16) for pair in hex_pairs]

def adjust_for_ascii(int_values):
    """将整数列表中的值减去128以获取ASCII值"""
    return [value - 128 for value in int_values]

def convert_int_to_str(int_values):
    """将整数列表转换为字符串"""
    return ''.join(chr(value) for value in int_values)

def main(hex_string):
    """主函数，调用上述函数并打印结果"""
    print("字符串长度：%s" % len(hex_string))

    hex_pairs = split_into_hex_pairs(hex_string)
    print("hex列表：%s" % hex_pairs)

    int_values = convert_hex_to_int(hex_pairs)
    print("转化为十进制int列表：%s" % int_values)

    ascii_values = adjust_for_ascii(int_values)
    print("-128得到ASCII十进制dec列表：%s" % ascii_values)

    result_str = convert_int_to_str(ascii_values)
    print('最终答案：%s' % result_str)

if __name__ == '__main__':
    hex_str = 'd4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd'
    main(hex_str)

网上的其他脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


# -*- coding:utf-8 -*-
# author: mochu7
def hex_str(str):#对字符串进行切片操作，每两位截取
    hex_str_list=[]
    for i in range(0,len(str)-1,2):
        hex_str=str[i:i+2]
        hex_str_list.append(hex_str)
    print("hex列表：%s\n"%hex_str_list)
    hex_to_str(hex_str_list)

def hex_to_str(hex_str_list):
    int_list=[]
    dec_list=[]
    flag=''
    for i in range(0,len(hex_str_list)):#把16进制转化为10进制
        int_str=int('0x%s'%hex_str_list[i],16)
        int_list.append(int_str)
        dec_list.append(int_str-128)#-128得到正确的ascii码
    for i in range(0,len(dec_list)):#ascii码转化为字符串
        flag += chr(dec_list[i])
    print("转化为十进制int列表：%s\n"%int_list)
    print("-128得到ASCII十进制dec列表：%s\n"%dec_list)
    print('最终答案：%s'%flag)

if __name__=='__main__':
    str='d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd'
    print("字符串长度：%s"%len(str))
    hex_str(str)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


key='d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9b2b2e1e2b9b9b7b4e1b4b7e3e4b3b2b2e3e6b4b3e2b5b0b6b1b0e6e1e5e1b5fd'
hex=[]
flag=''
for i in range(0,len(key)-1,2):
    zdh=key[i:i+2]
    hex.append(zdh)
for i in range(len(hex)):
    zdh1=hex[i]
    flag+=chr(int(int(zdh1,16))-128)
print(flag)

flag：

1

flag{922ab9974a47cd322cf43b50610faea5}

BUUCTF [MRCTF2020]Hello_ misc 1

Mon, 04 Aug 2025 08:00:00 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki 神奇的 Base64 隐写 MRCTF复现

题目描述：

得到的 flag 请包上 flag{} 提交。感谢Galaxy师傅供题。

密文：

下载附件解压，得到hello文件夹，两个文件

解题思路：

1、解压flag.rar需要密码，先处理try to restore it.png图片。

盲猜LSB隐写，用StegSolve打开，在Red 0通道发现PNG图片数据。

保存为png文件，得到：

得到zip-passwd密码，但不是flag.rar的密码。

2、用010Editor打开try to restore it.png图片，在文件尾找到 PK 文件头，提取出来保存为zip文件。

使用刚得到的密码解压，得到out.txt，文件内容如下：

一眼TTL隐写，解密脚本如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47


# @Author：YueXuan
# @Date  ：2024/10/10 16:56

def read_numbers_from_file(filename):
    """从文件中读取数字列表"""
    with open(filename, 'r') as file:
        numbers = [int(line.strip()) for line in file]
    return numbers

def decode_ttl(numbers):
    """解码数字列表为二进制字符串"""
    binary_str = ''
    mapping = {63: '00', 127: '01', 191: '10', 255: '11'}
    for number in numbers:
        binary_str += mapping[number]
    return binary_str

def binary_to_string(binary_str):
    """将二进制字符串转换为ASCII字符串"""
    text = ''
    for i in range(0, len(binary_str), 8):
        byte = binary_str[i:i+8]
        text += chr(int(byte, 2))
    return text

def main():
    filename = 'out.txt'  # 输入文件名
    output_filename = 'output.txt'  # 输出文件名

    # 从文件读取数字
    numbers = read_numbers_from_file(filename)

    # 解码数字为二进制字符串
    binary_str = decode_ttl(numbers)

    # 将二进制字符串转换为ASCII字符串
    hidden_text = binary_to_string(binary_str)

    # 输出结果
    print("隐藏的文本:", hidden_text)

    # 可选地保存到文件
    with open(output_filename, 'w') as output_file:
        output_file.write(hidden_text)

if __name__ == '__main__':
    main()

解密得到 rar-passwd:0ac1fe6b77be5dbe ，rar压缩包的密码。

3、用得到的密码解压flag.rar压缩包，得到flag文件夹下的fffflag.zip文件。

然而它是一个doc文件，更改后缀打开。打开之后，全选内容更改字体颜色，得到一堆密文。（Where is the flag ?）

1
2
3
4
5
6


MTEwMTEwMTExMTExMTEwMDExMTEwMTExMTExMTExMTExMTExMTExMTExMTExMTExMTAxMTEwMDAwMDAxMTExMTExMTExMDAxMTAx
MTEwMTEwMTEwMDAxMTAxMDExMTEwMTExMTExMTExMTExMTExMTExMTExMTExMTExMTExMTAxMTExMTExMTExMTExMTEwMTEwMDEx
MTEwMDAwMTAxMTEwMTExMDExMTEwMTExMTExMTAwMDExMTExMTExMTExMDAxMDAxMTAxMTEwMDAwMDExMTExMDAwMDExMTExMTEx
MTEwMTEwMTAwMDAxMTExMDExMTEwMTExMTExMDExMTAxMTExMTExMTEwMTEwMTEwMTAxMTExMTExMTAwMTEwMTExMTExMTExMTEx
MTEwMTEwMTAxMTExMTExMDExMTEwMTExMTAxMDExMTAxMTExMTExMTEwMTEwMTEwMTAxMTAxMTExMTAwMTEwMTExMTExMTExMTEx
MTEwMTEwMTAwMDAxMTAwMDAwMTEwMDAwMDAxMTAwMDExMTAwMDAwMTEwMTEwMTEwMTAxMTEwMDAwMDAxMTExMDAwMDExMTExMTEx

密文使用Base64隐写加密，使用下面的解密脚本进行解密

Base64隐写加解密工具

1

python b64steg.py -f flag.txt -s output.txt

得到

1
2
3
4
5
6


110110111111110011110111111111111111111111111111101110000001111111111001101
110110110001101011110111111111111111111111111111111101111111111111110110011
110000101110111011110111111100011111111111001001101110000011111000011111111
110110100001111011110111111011101111111110110110101111111100110111111111111
110110101111111011110111101011101111111110110110101101111100110111111111111
110110100001100000110000001100011100000110110110101110000001111000011111111

4、全选数据，回到fffflag.doc文件中，粘贴进去。然后搜索“ 0 ”，见证奇迹的时刻，你得到了flag。

flag：

1

flag{He1Lo_mi5c~}

BUUCTF Business Planning Group 1

Mon, 10 Feb 2025 11:01:40 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

密文：

下载附件，解压得到challenge.png

解题思路：

1、使用010Editor打开challenge.png，发现PNG文件尾（AE 42 60 82）附带一串数据，以 BPG 开头。使用搜索引擎了解到这是一种图像格式。

BPG（Better Portable Graphics，更好的可移植图形）是一种新的图像格式。

2、将数据另存为1.bpg文件，下载能打开BPG文件的工具。

下载地址： https://bellard.org/bpg/

在CMD中，使用bpgview.exe打开1.bpg图片，得到如下图：

3、提取图片中的字符串，应该是Base64编码。

1

YnNpZGVzX2RlbGhpe0JQR19pNV9iM3R0M3JfN2g0bl9KUEd9Cg==

Base64解码得到flag： bsides_delhi{BPG_i5_b3tt3r_7h4n_JPG}

flag：

1

flag{BPG_i5_b3tt3r_7h4n_JPG}

BUUCTF [安洵杯 2019]easy misc 1

Mon, 27 Jan 2025 09:02:52 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

下载附件，解压得到

解题思路：

1、使用Bandzip打开decode.zip文件，得到关于密码的提示。（当时我真没想到这跟压缩包密码有关系）

计算步骤

计算根号内的值

$$ \sqrt{2524921} = 1589 $$

进行乘法和除法

$$ 1589 \times 85 = 135065 $$

$$ 135065 \div 5 = 27013 $$

加法

$$ 27013 + 2 = 27015 $$

再次进行除法

$$ 27015 \div 15 = 1801 $$

减法

$$ 1801 - 1794 = 7 $$

字符串拼接

$$ 7 + “NNULLULL,” $$

猜测7位数字加上字符串"NNULLULL," 构成密码，使用ARCHPR进行掩码爆破，得到密码如下：

1

2019456NNULLULL,

解压decode.zip文件，得到如下内容

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


a = dIW
b = sSD
c = adE 
d = jVf
e = QW8
f = SA=
g = jBt
h = 5RE
i = tRQ
j = SPA
k = 8DS
l = XiE
m = S8S
n = MkF
o = T9p
p = PS5
q = E/S
r = -sd
s = SQW
t = obW
u = /WS
v = SD9
w = cw=
x = ASD
y = FTa
z = AE7

2、使用binwalk查看小姐姐.png，发现还有一张图片。（我的binwalk为什么会出问题，然后一不小心恢复快照，只能再装一个Kali了）

用foremost提取图片，结果是两张一样的图片。

猜测为盲水印，使用BlindWaterMark工具，解密得到如下内容：

3、对11.txt进行字频统计，字符按照出现频率从大到小排列如下：

1
2


大->小:
字符： etaonrhisdluygwmfc.　,bp"k'Hv-ITS?ADMRWPGN!FxBOYjCEzqLQUV;K:J)(134Z0792X5*~86	\

根据hint.txt的提示 hint:取前16个字符 ，取其前16个字符： etaonrhisdluygw 。（第一位是空格）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38


# 定义映射规则
mapping = {
    'a': 'dIW',
    'b': 'sSD',
    'c': 'adE',
    'd': 'jVf',
    'e': 'QW8',
    'f': 'SA=',
    'g': 'jBt',
    'h': '5RE',
    'i': 'tRQ',
    'j': 'SPA',
    'k': '8DS',
    'l': 'XiE',
    'm': 'S8S',
    'n': 'MkF',
    'o': 'T9p',
    'p': 'PS5',
    'q': 'E/S',
    'r': '-sd',
    's': 'SQW',
    't': 'obW',
    'u': '/WS',
    'v': 'SD9',
    'w': 'cw=',
    'x': 'ASD',
    'y': 'FTa',
    'z': 'AE7'
}

# 需要映射的字符串
input_str = "etaonrhisdluygw"

# 进行映射
result = ''.join(mapping[char] for char in input_str)

# 打印结果
print(result)

根据先前得到的decode.txt中的映射规则，得到字符串 QW8obWdIWT9pMkF-sd5REtRQSQQWjVfXiE/WSFTajBtcw= ，在这一步出现与官方WP不同的地方。

最后没有问题会得到flag： flag{have_a_good_day1}

flag：

1

flag{have_a_good_day1}

网络安全 DVWA通关指南 DVWA Brute Force (爆破)

Fri, 27 Sep 2024 12:24:23 +0000

DVWA Brute Force (爆破)

参考文献

WEB 安全靶场通关指南

Low

1、分析网页源代码

php

// 检查是否存在"Login" GET 参数，这通常是提交登录表单后触发的动作
if( isset( $_GET[ 'Login' ] ) ) {

    // 获取POST方式提交的用户名
    $user = $_GET[ 'username' ]; // 注意：这里应当使用 $_POST 而非 $_GET 来获取表单数据，因为登录通常涉及敏感信息，推荐使用 POST 方法

    // 获取POST方式提交的密码，并使用md5函数对其进行哈希加密（注意：MD5已经不再安全，应使用更安全的加密算法如bcrypt）
    $pass = $_GET[ 'password' ]; // 同上，此处应改为 $_POST['password']
    $pass = md5( $pass ); // 这里假设密码在数据库中是以MD5形式存储的

    // 创建SQL查询语句，检查数据库中是否存在匹配的用户名和密码
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    // 执行SQL查询，连接数据库并处理潜在错误
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( 
        '' . 
        ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : 
        (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . 
        '
'
    );

    // 检查查询结果是否成功且只有一条记录匹配（意味着用户名和密码正确）
    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // 获取匹配用户的详细信息
        $row = mysqli_fetch_assoc( $result );
        
        // 提取用户头像URL
        $avatar = $row["avatar"];

        // 登录成功，构造欢迎消息并显示用户头像
        $html .= "Welcome to the password protected area {$user}
";
        $html .= "\"{$avatar}\" />"; // 显示用户的头像图片

    } else {

        // 登录失败，输出错误提示信息
        $html .= "
Username and/or password incorrect.
";

    }

    // 关闭数据库连接
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

} // 结束 if(isset($_GET['Login']))

?>

2、使用管理员admin登录，密码尝试123，提示错误

使用Burp Suite抓包，将数据包发给Intruder（测试器），选择Sniper（狙击手）模式，选择password为有效载荷。

单字典(只有一个字典) 1.Sniper：按顺序一个一个参数依次遍历。 2.Battering ram：每个参数同时遍历同一个字典，两个参数的值相同。

多字典(有多少参数就有多少字典） 1.Pitchfork：多个参数同时进行遍历，只是一个选字典1，一个选字典2（相当于50m赛跑同时出发，只是赛道不同，互不干扰。爆破次数取决于最短的字典长度） 2.Cluster bomb：有点像两个嵌套的for循环，参数i和参数j，i=0，然后j要从0-10全部跑完，然后i=1，然后j再从0-10跑完，一对多，多次遍历

使用字典进行爆破，字典可以自己制作，也可以网上直接下载，等待片刻爆破完成，使用爆破出的密码就能登录。

Medium

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check the database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( 2 ); // 当登录验证失败时界面将睡眠 2 秒
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

2、密码验证方面，增加验证失败睡眠两秒的限制，这会加大爆破所需要的时间。但只要时间充足，爆破出密码不是问题。

试了一下，果然很慢。

High

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( rand( 0, 3 ) );
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

2、进入Position模块，选择Attacktype为Pitchfork模式，选择password和user_token为爆破对象

进入Resource Pool模块，

进入Options模块，找到Grep - Extract选项卡，添加一个正则表达式匹配返回的user_token

点击Refetch response，从response中找到user_token并选中

载入字典

第二个参数"token"选择从返回包匹配，填入当前token

爆破成功，登录成功

Impossible

php

if( isset( $_POST[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_POST[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_POST[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Default values
	$total_failed_login = 3;
	$lockout_time       = 15;
	$account_locked     = false;

	// Check the database (Check user information)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// Check to see if the user has been locked out.
	if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
		// User locked out.  Note, using this method would allow for user enumeration!
		//$html .= "
This account has been locked due to too many incorrect logins.";

		// Calculate when the user would be allowed to login again
		$last_login = $row[ 'last_login' ];
		$last_login = strtotime( $last_login );
		$timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
		$timenow    = strtotime( "now" );

		// Check to see if enough time has passed, if it hasn't locked the account
		if( $timenow > $timeout )
			$account_locked = true;
	}

	// Check the database (if username matches the password)
	$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR);
	$data->bindParam( ':password', $pass, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// If its a valid login...
	if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
		// Get users details
		$avatar       = $row[ 'avatar' ];
		$failed_login = $row[ 'failed_login' ];
		$last_login   = $row[ 'last_login' ];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";

		// Had the account been locked out since last login?
		if( $failed_login >= $total_failed_login ) {
			$html .= "Warning: Someone might of been brute forcing your account.
";
			$html .= "Number of login attempts: {$failed_login}.
Last login attempt was at: ${last_login}.
";
		}

		// Reset bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}
	else {
		// Login failed
		sleep( rand( 2, 4 ) );

		// Give the user some feedback
		$html .= "
Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {$lockout_time} minutes.
";

		// Update bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}

	// Set the last login time
	$data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

BUUCTF 摩丝 1

Fri, 27 Sep 2024 10:56:02 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

密文：

1

.. .-.. --- ...- . -.-- --- ..-

摩尔斯电码简述：

摩尔斯电码(Morse Code)是由美国人萨缪尔·摩尔斯在1836年发明的一种时通时断的且通过不同的排列顺序来表达不同英文字母、数字和标点符号的信号代码，摩尔斯电码主要由以下5种它的代码组成：

1、点（.） 2、划（-） 3、每个字符间短的停顿（通常用空格表示停顿） 4、每个词之间中等的停顿（通常用 / 划分） 5、以及句子之间长的停顿

观察密文特征，以及提示，确定为莫尔斯编码。用在线工具直接解码，得到flag。

flag：

1

ILOVEYOU

在线工具： 在线摩斯密码翻译器

BUUCTF password 1

Fri, 27 Sep 2024 10:54:09 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

密文：

姓名：张三 
生日：19900315

key格式为key{xxxxxxxxxx}

解题思路：

flag的长度为十位，猜测为姓名的缩写“zs”，加上生日“19900315”，构成flag。

flag：

`1`	`flag{zs1990315}`

BUUCTF RSA 1

Fri, 27 Sep 2024 10:51:59 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

题目描述：

注意：得到的 flag 请将 noxCTF 替换为 flag ，格式为 flag{} 提交。

密文：

1
2

在一次RSA密钥对生成中，假设p=473398607161，q=4511491，e=17
求解出d作为flga提交

解题思路：

Python代码求解。或用工具求解，参考这篇文章 https://blog.csdn.net/MikeCoke/article/details/105967809

import gmpy2
p = 473398607161
q = 4511491
e = 17
d = int(gmpy2.invert(e, (p-1)*(q-1)))
print(d)

flag：

`1`	`125631357777427553`

BUUCTF 丢失的MD5 1

Fri, 27 Sep 2024 10:50:10 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

密文：

1
2
3
4
5
6
7
8
9


import hashlib   
for i in range(32,127):
    for j in range(32,127):
        for k in range(32,127):
            m=hashlib.md5()
            m.update('TASC'+chr(i)+'O3RJMV'+chr(j)+'WDJKX'+chr(k)+'ZM')
            des=m.hexdigest()
            if 'e9032' in des and 'da' in des and '911513' in des:
                print des

解题思路：

密文部分给了一串Python代码，发现一个语法错误

修改后

运行代码，报错

报错原因是：必须在哈希之前Unicode对象进行编码对代码进行修改，对字符进行（UTF-8）编码

1
2
3
4
5
6
7
8
9


import hashlib   
for i in range(32,127):
    for j in range(32,127):
        for k in range(32,127):
            m=hashlib.md5()
            m.update('TASC'.encode('UTF-8')+chr(i).encode('UTF-8')+'O3RJMV'.encode('UTF-8')+chr(j).encode('UTF-8')+'WDJKX'.encode('UTF-8')+chr(k).encode('UTF-8')+'ZM'.encode('UTF-8'))
            des=m.hexdigest()
            if 'e9032' in des and 'da' in des and '911513' in des:
                print(des)

flag：

1

e9032994dabac08080091151380478a2