Web安全 on 知识带给我们自由

BUUCTF [UTCTF2020]basic-forensics 1

Fri, 14 Mar 2025 15:51:54 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

下载附件，是一张打不开的图片

解题思路：

1、使用010Editor打开图片，发现似乎是一本书的数据

直接搜索关键词“flag”，就找到flag了

flag：

1

flag{fil3_ext3nsi0ns_4r3nt_r34l}

🔒 玥轩 |网络安全拓扑空间

🛡️ 攻防演化方程

#CTF_TOP10% | #密码学 | #漏洞宇宙

🔑 安全算法素因子分解

漏洞扫描定理 ：

$$ \sqrt{61526} \approx 248 \quad \Rightarrow \quad \text{61,526次代码片分享构建248个攻防模型} $$

竞赛场博弈论 ：

$$ \begin{cases} \text{CTF攻防矩阵} & \nabla \cdot \vec{F} = \rho/\epsilon_0 \ \text{数模国赛优化解} & \iint_{D} e^{x^2+y^2} , dx , dy \end{cases} $$

🛰️ 云安全算子矩阵

$$ \text{专家算子} = \begin{bmatrix} \text{阿里云} & \otimes & \text{乘风者计划} \ \text{华为云} & \oplus & \text{云享专家} \ \end{bmatrix}^{\mathrm{T}} $$

🧩 安全协议证明体系

密码学引理

$$ \mathbb{Z}_{p}^{*} \ni \alpha \xrightarrow{\text{ECDSA}} \sigma = (\gamma, \delta) \quad \Rightarrow \quad \text{云原生场景密钥演化} $$

威胁建模推论

$$ \forall x \in \mathcal{V},\ \exists y \mid \mathop{\mathbb{P}}(X \leq \phi(y)) \geq 0.95 \quad \Rightarrow \quad \text{APT攻击概率收敛} $$

🌩️ 尼采安全哲学

$$ \mathop{\text{lim}}_{t\to\infty} \frac{\partial \Psi}{\partial t} = \lambda \Psi \quad \text{其中} \ \Psi = \text{“深自缄默→声震人间”} $$

📡 安全信道协议

$$ \begin{array}{ccc} \text{CTF Writeup库} & \xleftrightarrow{\text{TLS1.3}} & \text{漏洞星球} \ & \Updownarrow & \ \text{云安全智库} & \xrightarrow{\text{AES-GCM}} & \text{我的GitHub} \ \end{array} $$

🔗 安全握手请求

$$ \text{Let’s } \mathop{\text{Handshake}} \left( \frac{\text{你}}{\text{我}} \right) \ni { \text{知乎|GitHub|阿里云} } $$

BUUCTF [GKCTF 2021]你知道apng吗 1

Sun, 19 Jan 2025 11:53:54 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

（flag由flag头包裹

密文：

下载附件，解压得到girl.apng文件。

解题思路：

1、根据题目 你知道apng吗 ，搜索得到这是一种类似于GIF的动图文件。

科普（APNG）

APNG：我出身于PNG（便携式网络图形），我的使命就是淘汰GIF。我的全称是Animated Portable Network Graphics，我的本质是PNG的位图动画扩展，但未获PNG组织官方认可。我仍对原版PNG保持向下兼容，我的第1帧为标准PNG图像，剩余的动画和帧速等数据放在PNG扩展数据块，因此只支持原版PNG的软件会正确显示第1帧。Firefox与Chrome浏览器（59版本及以上）均可以直接打开我。

APNG百度

APNG（Animated Portable Network Graphics）是一个基于PNG（Portable Network Graphics）的位图动画格式，扩展方法类似主要用于网页的GIF 89a，仍对传统PNG保留向下兼容。第1帧是标准的单幅PNG图像，因此只支持原版PNG的软件能正常显示第1帧。剩余的动画帧和帧速数据储存在符合原版PNG标准的扩展数据块里。 APNG与Mozilla社区关系密切，格式标准文档就放在Mozilla网站。

使用Firefox可以打开girl.apng，可以看到有多个二维码一闪而过。

找到一个APNG在线查看工具： https://ezgif.com/split?err=expired ，上传图片后，点击 Split ，得到每帧的图片。

1、

2、

3、

4、

2、使用PS（或在线PS）处理第一张图片，选择 编辑 –> 变换 –> 扭曲 ，此时扫码得到四分之一的flag。

第二张图片使用StegSolve，查看其它的通道，找到可以识别的二维码。

剩下两张可以直接扫码得到四分之一flag，最后得到完整flag。

flag：

1

flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea}

BUUCTF [SUCTF2018]followme 1

Mon, 16 Dec 2024 09:00:00 +0000

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

题目描述：

得到的 flag 请包上 flag{} 提交。来源： https://github.com/hebtuerror404/CTF_competition_warehouse_2018

密文：

下载附件得到attachment.pcapng文件

解题思路：

1、有两种方法，先讲讲我的解题经过。我首先简单浏览了一下流量，发现有大量HTTP流量，并且似乎存在爆破行为。过滤出HTTP流量，查看到爆破密码的步骤，随便看一个就捡到了flag。

方法一：

使用Wireshark，在分组字节流中查找包含 ctf 的内容，可以找到flag

方法二：

将全部HTTP对象导出

发现大量的文件如下：

搜索文件中的关键词，使用grep命令，查找到flag

1

grep -r -i  "ctf"

flag：

1
2


SUCTF{password_is_not_weak}
flag{password_is_not_weak}

BUUCTF [WUSTCTF2020]girlfriend 1

Mon, 18 Nov 2024 12:58:09 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

得到的 flag 请包上 flag{} 提交。感谢 Iven Huang 师傅供题。比赛平台：https://ctfgame.w-ais.cn/

密文：

下载附件，得到attachment .zip压缩包，解压后得到girlfriend.zip压缩包。最后材料是girlfriend.wav和题目描述.txt。

题目描述.txt内容如下：

解题思路：

1、尝试听girlfriend.wav音频文件，刚开始没有听出是手机键盘拨号声。后面看题解，得知是DTMF拨号音识别。 Audacity显示

使用dtmf2num程序识别拨号内容 dtmf2num下载地址

1
2


dtmf2num.exe ..\资料\girlfriend.wav
dtmf2num.exe 音频文件位置

得到如下的按键顺序、次数

1

999*666*88*2*777*33*6*999*4*4444*777*555*333*777*444*33*66*3*7777

2、对应手机上九宫格输入，得到最后的字符串为 YOUAREMYGIRLFRIENDS

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


YOUAREMYGIRLFRIENDS

999     --->   y
666     --->   o
88      --->   u
2       --->   a
777     --->   r
33      --->   e
6       --->   m
999     --->   y
4       --->   g
4444    --->   i
777     --->   r
555     --->   l
333     --->   f
777     --->   r
444     --->   i
33      --->   e
66      --->   n
3       --->   d
7777    --->   s

youaremygirlfriends

flag：

大写提交不成功，切换小写

1

flag{youaremygirlfriends}

网络安全 DVWA通关指南 DVWA File Inclusion（文件包含）

Mon, 30 Sep 2024 12:23:22 +0000

DVWA File Inclusion（文件包含）

参考文献

WEB 安全靶场通关指南

本地文件包含(LFI)

文件包含漏洞的产生原因是 PHP 语言在通过引入文件时，引用的文件名，用户可控，由于传入的文件名没有经过合理的校验，或者校验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。

当被包含的文件在服务器本地时，就形成的本地文件包含漏洞。

漏洞利用

利用条件：

（1）include()等函数通过动态变量的方式引入包含文件；（2）用户能够控制该动态变量。

远程文件包含(RFL)

服务器通过 PHP 的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严格，

从而可以去包含一个恶意文件，攻击者就可以远程构造一个特定的恶意文件达到攻击目的。

漏洞利用

条件： php.ini 中开启 allow_url_include 、 allow_url_fopen 选项。

修复建议

禁止远程文件包含 allow_url_include=off

配置 open_basedir=指定目录 ，限制访问区域。

过滤 ../ 等特殊符号

修改Apache日志文件的存放地址

开启魔术引号 magic_quotes_qpc=on

尽量不要使用动态变量调用文件，直接写要包含的文件。

Low

1、分析网页源代码

1
2
3
4
5
6


php

// The page we wish to display
$file = $_GET[ 'page' ];

?>

没有任何过滤措施存在，同时使用GET方法传递参数。尝试查看file1.php文件

2、在URL输入不存在的路径，提交出现报错信息，得到文件的绝对路径

1
2
3


Warning: include(iviirjgiegij): failed to open stream: No such file or directory in D:\phpstudy_pro\WWW\DVWA-master\vulnerabilities\fi\index.php on line 36

Warning: include(): Failed opening 'iviirjgiegij' for inclusion (include_path='.;C:\php\pear;../../external/phpids/0.6/lib/') in D:\phpstudy_pro\WWW\DVWA-master\vulnerabilities\fi\index.php on line 36

3、使用相对路径访问fi.php，路径为D:\phpstudy_pro\WWW\DVWA-master\hackable\flags\fi.php。

相对路径计算如下：

1

..\..\hackable\flags\fi.php

成功访问到fi.php文件

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
// 使用str_replace函数移除$file字符串中所有的"http://"和"https://"子串。
$file = str_replace( array( "../", "..\"" ), "", $file );
// 继续使用str_replace函数，这次移除$file中所有向上一级目录的路径指示符，无论是"../"还是"..\"（考虑到不同操作系统的路径分隔符）。

?>

2、使用str_replace函数对输入的文件路径进行过滤，因为使用的是str_replace函数，所以可以使用双写绕过。构造Payload如下：

1

..././..././hackable/flags/fi.php

拼接到URL中提交，绕过成功

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
// 使用fnmatch函数检查$file是否匹配模式"file*"
// fnmatch用于实现shell风格的通配符匹配，这里的"file*"会匹配以"file"开头的任何字符串。
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

2、使用fnmatch函数函数，虽然只能包含"file"开头的文件，但我们可以使用file伪协议读取到文件。（这个地方需要文件的绝对路径，与Low级别不同，这里的报错信息需要提交以file开头的不存在文件或路径，否则会返回统一错误页面）

构造Payload如下：

1

file:///D:\phpstudy_pro\WWW\DVWA-master\hackable\flags\fi.php

拼接到URL中提交，包含文件成功

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

网络安全 DVWA通关指南 DVWA DOM Based Cross Site Scripting (DOM型 XSS)

Sun, 29 Sep 2024 12:23:38 +0000

DVWA DOM Based Cross Site Scripting (DOM型 XSS)

参考文献

WEB 安全靶场通关指南

XSS跨站原理

当应用程序发送给浏览器的页面中包含用户提交的数据，但没有经过适当验证或转义时，就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性，而不是缺陷;

浏览器同源策略：只有发布Cookie的网站才能读取Cookie。

会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害

DOM型

基于文档对象模型(Document Object Model)的一种漏洞；

DOM型与反射型类似，都需要攻击者诱使用户点击专门设计的URL；

Dom型 xss 是通过 url 传入参数去控制触发的；

Dom型返回页面源码中看不到输入的payload，而是保存在浏览器的DOM中。

Low

1、分析网页源代码

1
2
3
4
5
6


php

# No protections, anything goes

?>
//没有任何防御措施

2、修改default，在URL拼接Payload

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
	$default = $_GET['default'];
	
	# Do not allow script tags
	if (stripos ($default, ") !== false) {
		header ("location: ?default=English");
		exit;
	}
}

?>

增加对"

2、构造闭合"option"和"select"标签，执行弹出"/xss/“的语句

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

	# White list the allowable languages
	switch ($_GET['default']) {
		case "French":
		case "English":
		case "German":
		case "Spanish":
			# ok
			break;
		default:
			header ("location: ?default=English");
			exit;
	}
}

?>

2、在注入的 payload 中加入注释符 “#”，注释后边的内容不会发送到服务端，但是会被前端代码所执行。

1

(空格)#

Impossible

1
2
3
4
5
6


php

# Don't need to do anything, protction handled on the client side

?>
# 大多数情况下浏览器都会对 URL 中的内容进行编码，这会阻止任何注入的 JavaScript 被执行。

网络安全 DVWA通关指南 DVWA Command Injection（命令注入）

Sat, 28 Sep 2024 12:23:57 +0000

DVWACommand Injection（命令注入）

参考文献

WEB 安全靶场通关指南

Low

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方式提交的IP地址数据
    // 注意：此处使用$_REQUEST可能会受到GET和POST两种方式的影响，为了安全性建议明确指定来源（如$_POST）
    $target = $_REQUEST['ip'];

    // 检查当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则构建用于执行ping命令的字符串
        // 使用单引号包围命令并在末尾添加从用户输入获取的IP地址
        // 注意：这段代码存在命令注入风险，因为未对$user变量进行任何过滤或转义
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 构建用于执行ping命令的字符串，'-c 4' 参数表示发送4个ICMP请求包
        // 同样，这段代码也存在命令注入风险
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将执行命令的结果赋值给 $cmd 变量，并将其作为HTML预格式化的文本显示给用户
    // 这里展示了命令执行结果，但也暴露了潜在的安全风险
    $html .= "{$cmd}";
}

?>

2、网页对参数没有任何过滤，可以使用"&“、”&&“、”|“、”||“逻辑连接符连接命令，直接执行命令。

连接符左右是否有空格没有影响

注意逻辑连接符的区别

逻辑运算符	逻辑功能
&(并且)	有false则false
	(或者)
!(非)	非false则true，非true则false
^(异或)	相同为false，不同为true
&&(短路与)	有false则false,若&&左边表达式或者值为false则右边不进行计算

1
2
3
4


192.168.90.127 && ipconfig
192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

4、为了消除命令注入风险，需要对用户输入进行严格的过滤或转义。例如，可以使用escapeshellarg()函数对目标IP地址进行转义，如下所示：

1
2
3
4
5
6
7
8
9


// 对于Windows和*nix系统，都应先对用户输入进行转义
$target_sanitized = escapeshellarg($target);

// 然后构建命令
if (stristr(php_uname('s'), 'Windows NT')) {
    $cmd = shell_exec('ping ' . $target_sanitized);
} else {
    $cmd = shell_exec('ping -c 4 ' . $target_sanitized);
}

Medium

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


php

// 当检测到表单已提交（即点击了Submit按钮）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户通过POST方法提交的IP地址数据
    // 注意：这里使用$_REQUEST会同时接收GET和POST数据，若只期望POST数据，应使用$_POST['ip']
    $target = $_REQUEST['ip'];

    // 创建黑名单字符数组，其中包含了可能导致命令注入的特殊字符（在这里是逻辑运算符）
    $substitutions = array(
        '&&' => '', // 去除逻辑与符号，防止连续命令执行
        ';'  => '', // 去除分号，防止多条命令执行
    );

    // 使用str_replace函数替换掉用户输入中黑名单内的字符
    // 这是一个初级防护措施，但并不能完全阻止所有类型的命令注入攻击
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 检测当前服务器的操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 如果是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令的输出结果以HTML预格式化的文本形式呈现给用户
    // 虽然进行了部分字符过滤，但仍然需要注意此代码仍可能存在命令注入风险
    $html .= "{$cmd}";
}

?>

2、网页将”&&“连接符过滤了，可以使用其他的逻辑连接符，命令注入成功。

1
2
3


192.168.90.127 & ipconfig
0.0.0.0 || ipconfig
192.168.90.127 | ipconfig

High

1、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41


php

// 当检测到表单已提交（Submit按钮已被点击）时执行以下代码
if (isset($_POST['Submit'])) {

    // 获取用户提交的IP地址输入，并使用trim函数去除首尾空白字符
    $target = trim($_REQUEST['ip']);

    // 定义一个黑名单字符数组，包含一些可能用于命令注入的特殊字符
    $substitutions = array(
        '&'   => '',     // 空字符替换"&"（逻辑与符号，用于连接多个命令）
        ';'   => '',     // 空字符替换";"（命令分隔符，用于执行多条命令）
        '| '  => '',     // 空字符替换"| "（管道符号，用于命令间通信）！！！我真的没看到这里居然有一个空格！！！
        '-'   => '',     // 空字符替换"-"（某些命令中的选项标志或组合命令）
        '$'   => '',     // 空字符替换"$"（环境变量引用或bash命令执行）
        '('   => '',     // 空字符替换"("（子shell执行或命令组）
        ')'   => '',     // 空字符替换")"（与"("配套使用）
        '`'   => '',     // 空字符替换"`"（命令替换）
        '||'  => '',     // 空字符替换"||"（逻辑或符号，用于命令执行失败时执行下一条命令）
    );

    // 使用str_replace函数，将用户输入中黑名单内所有字符替换为空字符
    // 这是一种针对命令注入的基本防御措施，但无法保证完全抵御所有攻击手法
    $target = str_replace(array_keys($substitutions), $substitutions, $target);

    // 判断当前操作系统类型
    if (stristr(php_uname('s'), 'Windows NT')) {
        // 若是Windows操作系统，则执行ping命令
        $cmd = shell_exec('ping ' . $target);
    } else {
        // 否则，认为是类*nix系统（Unix/Linux/Mac OS等）
        // 执行带有-c参数的ping命令，表示向目标主机发送4个数据包
        $cmd = shell_exec('ping -c 4 ' . $target);
    }

    // 将ping命令执行的原始输出反馈给用户，以HTML预格式化的文本形式展示
    // 尽管进行了字符过滤，但此代码依然存在命令注入的风险
    $html .= "{$cmd}";
}

?>

2、真没想到黑名单字符数组中，’| ‘‘的后面多了一个空格，所以还是可以使用”|“连接符进行连接。

1

192.168.90.127 |ipconfig

Impossible

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56


php

// 当表单提交按钮（Submit）被触发时执行以下代码
if (isset($_POST['Submit'])) {

    // 验证Anti-CSRF令牌，防止跨站请求伪造攻击
    checkToken($_REQUEST['user_token'], $_SESSION['session_token'], 'index.php');

    // 获取用户输入的IP地址，并使用stripslashes函数去除反斜杠（\）以防止魔术引号攻击
    $target = $_REQUEST['ip'];
    $target = stripslashes($target);

    // 将IP地址拆分为四个八位字节（点分十进制形式）
    $octet = explode(".", $target);

    // 检查每个八位字节是否都是整数
    if (
        (is_numeric($octet[0])) &&
        (is_numeric($octet[1])) &&
        (is_numeric($octet[2])) &&
        (is_numeric($octet[3])) &&
        (sizeof($octet) == 4)
    ) {
        // 如果所有四个八位字节均为整数，则重新组合IP地址
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // 根据操作系统类型执行ping命令
        if (stristr(php_uname('s'), 'Windows NT')) {
            // 如果是Windows操作系统
            $cmd = shell_exec('ping ' . $target);
        } else {
            // 如果是*nix系统（如Unix/Linux/Mac OS）
            $cmd = shell_exec('ping -c 4 ' . $target);
        }

        // 将ping命令执行结果以HTML预格式化文本的形式返回给用户
        $html .= "{$cmd}";
    } else {
        // 用户输入的不是有效的IP地址，显示错误消息
        $html .= 'ERROR: You have entered an invalid IP.';
    }
}

// 生成新的Anti-CSRF令牌并存储到session中
generateSessionToken();

?>

**注释说明：**

- 此PHP脚本主要处理用户提交的IP地址，并执行ping命令检查其连通性。
- 使用`checkToken`函数验证用户提交的Anti-CSRF令牌，确保请求来自合法用户而非第三方恶意伪造。
- 获取用户输入的IP地址，并通过`stripslashes`函数移除可能存在的反斜杠，以防止SQL注入或其他基于字符串逃逸的攻击。
- 将IP地址拆分成四个八位字节，然后逐一检查它们是否为数字，确保IP地址格式正确。
- 根据服务器操作系统类型执行相应的ping命令，并将结果显示给用户。
- 在脚本末尾调用`generateSessionToken`函数生成新的Anti-CSRF令牌，为后续请求提供保护。

网络安全 DVWA通关指南 DVWA Brute Force (爆破)

Fri, 27 Sep 2024 12:24:23 +0000

DVWA Brute Force (爆破)

参考文献

WEB 安全靶场通关指南

Low

1、分析网页源代码

php

// 检查是否存在"Login" GET 参数，这通常是提交登录表单后触发的动作
if( isset( $_GET[ 'Login' ] ) ) {

    // 获取POST方式提交的用户名
    $user = $_GET[ 'username' ]; // 注意：这里应当使用 $_POST 而非 $_GET 来获取表单数据，因为登录通常涉及敏感信息，推荐使用 POST 方法

    // 获取POST方式提交的密码，并使用md5函数对其进行哈希加密（注意：MD5已经不再安全，应使用更安全的加密算法如bcrypt）
    $pass = $_GET[ 'password' ]; // 同上，此处应改为 $_POST['password']
    $pass = md5( $pass ); // 这里假设密码在数据库中是以MD5形式存储的

    // 创建SQL查询语句，检查数据库中是否存在匹配的用户名和密码
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";

    // 执行SQL查询，连接数据库并处理潜在错误
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( 
        '' . 
        ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : 
        (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . 
        '
'
    );

    // 检查查询结果是否成功且只有一条记录匹配（意味着用户名和密码正确）
    if( $result && mysqli_num_rows( $result ) == 1 ) {

        // 获取匹配用户的详细信息
        $row = mysqli_fetch_assoc( $result );
        
        // 提取用户头像URL
        $avatar = $row["avatar"];

        // 登录成功，构造欢迎消息并显示用户头像
        $html .= "Welcome to the password protected area {$user}
";
        $html .= "\"{$avatar}\" />"; // 显示用户的头像图片

    } else {

        // 登录失败，输出错误提示信息
        $html .= "
Username and/or password incorrect.
";

    }

    // 关闭数据库连接
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);

} // 结束 if(isset($_GET['Login']))

?>

2、使用管理员admin登录，密码尝试123，提示错误

使用Burp Suite抓包，将数据包发给Intruder（测试器），选择Sniper（狙击手）模式，选择password为有效载荷。

单字典(只有一个字典) 1.Sniper：按顺序一个一个参数依次遍历。 2.Battering ram：每个参数同时遍历同一个字典，两个参数的值相同。

多字典(有多少参数就有多少字典） 1.Pitchfork：多个参数同时进行遍历，只是一个选字典1，一个选字典2（相当于50m赛跑同时出发，只是赛道不同，互不干扰。爆破次数取决于最短的字典长度） 2.Cluster bomb：有点像两个嵌套的for循环，参数i和参数j，i=0，然后j要从0-10全部跑完，然后i=1，然后j再从0-10跑完，一对多，多次遍历

使用字典进行爆破，字典可以自己制作，也可以网上直接下载，等待片刻爆破完成，使用爆破出的密码就能登录。

Medium

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check the database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( 2 ); // 当登录验证失败时界面将睡眠 2 秒
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

2、密码验证方面，增加验证失败睡眠两秒的限制，这会加大爆破所需要的时间。但只要时间充足，爆破出密码不是问题。

试了一下，果然很慢。

High

1、分析网页源代码

php

if( isset( $_GET[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_GET[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_GET[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Check database
	$query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

	if( $result && mysqli_num_rows( $result ) == 1 ) {
		// Get users details
		$row    = mysqli_fetch_assoc( $result );
		$avatar = $row["avatar"];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";
	}
	else {
		// Login failed
		sleep( rand( 0, 3 ) );
		$html .= "
Username and/or password incorrect.
";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

2、进入Position模块，选择Attacktype为Pitchfork模式，选择password和user_token为爆破对象

进入Resource Pool模块，

进入Options模块，找到Grep - Extract选项卡，添加一个正则表达式匹配返回的user_token

点击Refetch response，从response中找到user_token并选中

载入字典

第二个参数"token"选择从返回包匹配，填入当前token

爆破成功，登录成功

Impossible

php

if( isset( $_POST[ 'Login' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Sanitise username input
	$user = $_POST[ 'username' ];
	$user = stripslashes( $user );
	$user = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $user ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitise password input
	$pass = $_POST[ 'password' ];
	$pass = stripslashes( $pass );
	$pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass = md5( $pass );

	// Default values
	$total_failed_login = 3;
	$lockout_time       = 15;
	$account_locked     = false;

	// Check the database (Check user information)
	$data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// Check to see if the user has been locked out.
	if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
		// User locked out.  Note, using this method would allow for user enumeration!
		//$html .= "
This account has been locked due to too many incorrect logins.";

		// Calculate when the user would be allowed to login again
		$last_login = $row[ 'last_login' ];
		$last_login = strtotime( $last_login );
		$timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
		$timenow    = strtotime( "now" );

		// Check to see if enough time has passed, if it hasn't locked the account
		if( $timenow > $timeout )
			$account_locked = true;
	}

	// Check the database (if username matches the password)
	$data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR);
	$data->bindParam( ':password', $pass, PDO::PARAM_STR );
	$data->execute();
	$row = $data->fetch();

	// If its a valid login...
	if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
		// Get users details
		$avatar       = $row[ 'avatar' ];
		$failed_login = $row[ 'failed_login' ];
		$last_login   = $row[ 'last_login' ];

		// Login successful
		$html .= "Welcome to the password protected area {$user}
";
		$html .= "\"{$avatar}\" />";

		// Had the account been locked out since last login?
		if( $failed_login >= $total_failed_login ) {
			$html .= "Warning: Someone might of been brute forcing your account.
";
			$html .= "Number of login attempts: {$failed_login}.
Last login attempt was at: ${last_login}.
";
		}

		// Reset bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}
	else {
		// Login failed
		sleep( rand( 2, 4 ) );

		// Give the user some feedback
		$html .= "
Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {$lockout_time} minutes.
";

		// Update bad login count
		$data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
		$data->bindParam( ':user', $user, PDO::PARAM_STR );
		$data->execute();
	}

	// Set the last login time
	$data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
	$data->bindParam( ':user', $user, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

网络安全 DVWA通关指南 Cross Site Request Forgery (CSRF)

Thu, 26 Sep 2024 12:24:47 +0000

DVWA Cross Site Request Forgery (CSRF)

参考文献

WEB 安全靶场通关指南

CSRF是跨站请求伪造攻击，由客户端发起，是由于没有在执行关键操作时，进行 是否由用户自愿发起的 确认攻击者通过用户的浏览器来注入额外的网络请求，来破坏一个网站会话的完整性。

比如某网站 用户信息修改 功能，没有验证Referer也没添加Token，攻击者可以用HTML构造恶意代码提交POST请求，诱骗已经登陆的受害者点击，可以直接修改用户信息

修复建议

验证Referer

添加token

DVWA Low 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\low.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


php

if(isset($_GET['Change'])) { // 检查是否有请求更改密码的动作
    // 获取用户输入的新密码和确认密码
    $pass_new  = $_GET['password_new'];
    $pass_conf = $_GET['password_conf'];

    // 检查两次输入的密码是否匹配
    if ($pass_new == $pass_conf) { 
        // 密码匹配
        // 防止SQL注入，转义新密码字符串
        $pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $pass_new) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        
        // 对新密码进行MD5哈希加密（注意：MD5加密在此处已经过时，不建议用于存储密码）
        $pass_new = md5($pass_new);

        // 构造SQL更新语句，更新当前登录用户（由dvwaCurrentUser()函数获取）的密码
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";

        // 执行SQL查询
        $result = mysqli_query($GLOBALS["___mysqli_ston"], $insert) or die('' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '');

        // 如果密码成功更改，则反馈给用户
        $html .= "Password Changed.";
    } else {
        // 如果两次输入的密码不匹配，则反馈错误信息
        $html .= "Passwords did not match.";
    }

    // 关闭数据库连接
    ((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

1、选择DVWA的CSRF，修改密码为111，提交后观察到网站链接发生变化

1

http://dvwa/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change#

观察链接，认为使用get方式提交修改密码参数，只要三个参数符合就可以执行密码修改的操作

2、打开一个新标签页，在地址栏输入 http://dvwa/vulnerabilities/csrf/?password_new=111&password_conf=111&Change=Change# ，回车后，进入DVWA中并提示Password Changed，修改密码成功。

3、可以通过将长连接转换为短链接的方法，诱使用户点击链接，通过在线工具转换

DVWA Medium 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\medium.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Checks to see where the request came from
    //检查$_SERVER['HTTP_REFERER']，看看请求是否来自包含当前服务器名称$_SERVER['SERVER_NAME']的地址。stripos函数用于查找HTTP_REFERER是否包含服务器名
	if( stripos( $_SERVER[ 'HTTP_REFERER' ] ,$_SERVER[ 'SERVER_NAME' ]) !== false ) {
		// Get input
		$pass_new  = $_GET[ 'password_new' ];
		$pass_conf = $_GET[ 'password_conf' ];

		// Do the passwords match?
		if( $pass_new == $pass_conf ) {
			// They do!
			$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
			$pass_new = md5( $pass_new );

			// Update the database
			$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
			$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

			// Feedback for the user
			$html .= "Password Changed.";
		}
		else {
			// Issue with passwords matching
			$html .= "Passwords did not match.";
		}
	}
	else {
		// Didn't come from a trusted source
		$html .= "That request didn't look correct.";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

?>

1、尝试修改密码为222，修改成功，得到链接

1

http://dvwa/vulnerabilities/csrf/?password_new=222&password_conf=222&Change=Change#

2、打开新的标签页，使用上面的地址，出现错误提示，密码修改错误

3、打开计算机代理，修改电脑代理服务器IP设置为127.0.0.1，端口设置为8888，BurpSuite调整代理参数与电脑代理一致

4、正常修改密码的网页，使用BurpSuitePro捕获流量包，发现多出Referer属性信息

5、而直接粘贴链接修改密码失败的报文缺少Referer属性信息，右键选择Send to Repeater

5、打开Repeater选项卡，给Request请求中添加Referer信息，Referer需要包括"dvwa"字段（需要符合同源策略），点击Send发送，修改密码成功

DVWA High 级别 CSRF

0、分析网页源代码（路径：“D:\phpstudy_pro\DVWA-master\vulnerabilities\csrf\source\high.php”）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Do the passwords match?
	if( $pass_new == $pass_conf ) {
		// They do!
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update the database
		$insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
		$result = mysqli_query($GLOBALS["___mysqli_ston"],  $insert ) or die( '' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' );

		// Feedback for the user
		$html .= "Password Changed.";
	}
	else {
		// Issue with passwords matching
		$html .= "Passwords did not match.";
	}

	((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}

// Generate Anti-CSRF token
generateSessionToken();

?>

1、正常修改密码并成功，使用BurpSuitePro捕获流量包，发现仍使用get提交方式，但多了验证参数token

2、直接将链接复制粘贴修改密码肯定失败，提示token不正确

有两种方法可以获得token值

方法一：利用DVWA中储存型XSS漏洞获得网页token

1、修改储存型XSS的网页脚本"D:\phpstudy_pro\DVWA-master\vulnerabilities\xss_s\index.php"，加入下面两行代码（修改文件之前做好备份）

1
2


Name:test
Message:this is a test comment.
Name:
Message:1

2、保存文件，打开DVWA High级别下的储存型XSS页面，得到token值

3、将得到的token替换，BurpSuitePro捕获流量包中原有的token

4、发送构造好的数据包，得到响应，密码修改成功

方法二：在BurpSuite安装插件，获取token

1、安装CSRF Token Tracker插件

2、添加一条CSRF Token Tracker规则并勾选，再勾选"根据规则同步requests"

3、截获修改密码请求包

4、将抓到的包Send to Repeater，在Repeater页面修改"password_new"和"password_conf"参数，Send后发现token值发生变化，修改密码成功

DVWA Impossible 级别 CSRF

0、分析网页源代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


php

if( isset( $_GET[ 'Change' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$pass_curr = $_GET[ 'password_current' ];
	$pass_new  = $_GET[ 'password_new' ];
	$pass_conf = $_GET[ 'password_conf' ];

	// Sanitise current password input
	$pass_curr = stripslashes( $pass_curr );
	$pass_curr = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_curr ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$pass_curr = md5( $pass_curr );

	// Check that the current password is correct
	$data = $db->prepare( 'SELECT password FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
	$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
	$data->bindParam( ':password', $pass_curr, PDO::PARAM_STR );
	$data->execute();

	// Do both new passwords match and does the current password match the user?
	if( ( $pass_new == $pass_conf ) && ( $data->rowCount() == 1 ) ) {
		// It does!
		$pass_new = stripslashes( $pass_new );
		$pass_new = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $pass_new ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
		$pass_new = md5( $pass_new );

		// Update database with new password
		$data = $db->prepare( 'UPDATE users SET password = (:password) WHERE user = (:user);' );
		$data->bindParam( ':password', $pass_new, PDO::PARAM_STR );
		$data->bindParam( ':user', dvwaCurrentUser(), PDO::PARAM_STR );
		$data->execute();

		// Feedback for the user
		$html .= "Password Changed.";
	}
	else {
		// Issue with passwords matching
		$html .= "Passwords did not match or current password incorrect.";
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>

BUUCTF 凯撒？替换？呵呵!

Wed, 25 Sep 2024 21:49:16 +0000

BUUCTF: https://buuoj.cn/challenges

题目描述：

1

MTHJ{CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCOHCFDUCGTXZOHIXOEOWMEHZO}

解题步骤：

1、根据题目提示与密文特征，猜测为凯撒加密。尝试后，发现不是普通的凯撒加密。

2、经过分析发现没有规律，尝试暴力破解。首先，可以肯定MTHJ的明文为flag，利用在线工具 quipqiup ，破解所有的可能。

3、第一步：输入密文（MTHJ{CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCOHCFDUCGTXZOHIXOEOWMEHZO}）第二步：输入提示（MTHJ=flag）第三步：点击Solve按钮，开始破解。

4、选择第一个结果，去除空格，加上花括号，作为flag。

flag：

1

flag{substitutioncipherdecryptionisalwayseasyjustlikeapieceofcake}

结束