|
|
记一次对php异或加密的解密过程 (qq.com)
记一次对php异或加密的解密过程原创 rural 潇湘信安 潇湘信安
微信号 xxxasec
功能介绍 一个不会编程、挖SRC、代码审计的安全爱好者,主要分享一些安全经验、渗透思路、奇淫技巧与知识总结。
1周前
收录于话题 #其他笔记 ,21个
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
|
感谢群友@rural老哥的投稿,感谢分享
 
。希望大家能够从中有所收获。
首先拿到了主页面
查看源码后发现了source.txt,这个页面给出了php的代码,简单查看后是php异或加密和解密代码,我对代码注释了一下
接着说说异或加密和解密
- <?php
- $string="asd";
- $key="1234567890";
- $result1=$string^$key;
- $result2=$result1^$key;
- echo $result1^$string;//获取$key值
- ?>
这里说几个坑的位置,首先是$key会每几秒变一次,所以不能手工获取admin的加密值然后带入代码获取flag,这个可以通过bp发包看出来。
这一点是遇到最大的坑,在代码
这一段代码里面能获取到admin的加密值,还有一段代码也可以获取到admin的加密值
这两段代码都可以获取到admin的加密值,这么说在获取到第一段的key之后要使过去flag的代码执行就得在获取一个key,这个key值和session是相关的。从以下代码就可以看出
为了保证获取的key不变就得使得第二段代码成立并获取system的加密值
现在就开始构造脚本来完成操作,由于算计获取的key值有可能是奇怪的字符所以脚本多来几次就出来了
成功获取flag
附件:
Python代码
- import requests
- from lxml import etree
- from urllib.parse import quote,unquote
- import base64
- data = {
- "username":"admin",
- "password":"admin",
- }
- cookies = "PHPSESSID=n0r1l2qb79o36a8eocjfeampr4;"#cookie中不带user字段,使得(empty($user)这个weitrue从而向客户端返回admin的加密值
- header = {
- "Origin": "http://159.75.30.182:8001",
- "Upgrade-Insecure-Requests": "1",
- "cookie":cookies,
- "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36",
- "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
- }
- re = requests.post('http://159.75.30.182:8001/#',data=data,headers=header)
- cookie = re.cookies#获取cookie值
- cookie = unquote(cookie['user'])#url解码cookie里面的user字段
- cookie = base64.b64decode(cookie).decode("utf-8")#base64解码cookie里面的user字段
- print(cookie)
- lis = []
- for i in cookie:#把user的每个字符都存入列表好进行异或运算
- lis.append(i)
- print(lis)
- a1 = chr(ord(lis[0]) ^ ord("a"))#这就是把获取的user的每个字符都和admin进行异或运算从而得到key,为啥要和admin运算因为从php代码来看上面获取到的就是admin的加密值
- a2 = chr(ord(lis[1]) ^ ord("d"))
- a3 = chr(ord(lis[2]) ^ ord("m"))
- a4 = chr(ord(lis[3]) ^ ord("i"))
- a5 = chr(ord(lis[4]) ^ ord("n"))
- print(a1+a2+a3+a4+a5)#组合key
- b1 = chr(ord(a1) ^ ord("s"))#这边是把key和system进行异或运算获取system的加密值,php代码里面要获取flag就是要计算得出system的加密值
- b2 = chr(ord(a2) ^ ord("y"))
- b3 = chr(ord(a3) ^ ord("s"))
- b4 = chr(ord(a4) ^ ord("t"))
- b5 = chr(ord(a5) ^ ord("e"))
- b6 = chr(ord(a1) ^ ord("m"))
- strs = b1 + b2 + b3 + b4 + b5 + b6#组合system的加密值
- print(strs)
- strs = strs.encode("utf-8")#转码
- strs = base64.b64encode(strs).decode('utf-8')#base64加密
- print(strs)
- proxies = {
- "http": "http://127.0.0.1:8080",
- }
- dataa = {
- "username":"a",
- "password":"ab",
- }
- cookies = "PHPSESSID=n0r1l2qb79o36a8eocjfeampr4;" + "user=" + str(strs) + "%3D"#组合cookie
- header = {
- "Origin": "http://159.75.30.182:8001",
- "Upgrade-Insecure-Requests": "1",
- "cookie":cookies,
- "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36",
- "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
- }
- #re = requests.post('http://159.75.30.182:8001',data=dataa,headers=header,proxies=proxies)
- re = requests.post('http://159.75.30.182:8001',data=dataa,headers=header)
- print(re.text)#打印获取的网页内容获取flag
php代码
- <?php
- session_start();
- ini_set('display_errors', 0);
- require_once('config.php');
- if(!isset($_SESSION['time']) || (time() - $_SESSION['time'])>2){
- $_SESSION['time'] = time();
- $_SESSION['key'] = md5(rand_str());//随机去一个md5的加密字符串
- }
- $key=$_SESSION['key'];//把加密字符串的值赋值给key,这个key就是我们要逆推的值
- function encrypt($plain)//$plain是传入的参数
- {
- global $key;
- $r='';
- for($i=0;$i<strlen($plain);$i++){//获取$plain长度
- $k = $i % strlen($key);//获取key长度$key,经过我的验证由于i是从0开始而0-5之间与任意数字取余都是0-5
- $r.= chr(ord($key[$k]) ^ ord($plain[$i]));//这是$key的每一个字符和$plain的每一个字符进行异或运算,如果字符长度不相等就循环
- }
- return base64_encode($r);//base64加密$r
- }
- function decrypt($cipher)
- {
- global $key;
- $cipher = base64_decode($cipher);//base64解密$cipher
- $r = '';
- for($i=0;$i<strlen($cipher);$i++){//获取$cipher长度
- $k = $i % strlen($key);//获取key长度$key,经过我的验证由于i是从0开始而0-5之间与任意数字取余都是0-5
- $r .= chr(ord($key[$k])^ord($cipher[$i]));//这是$key的每一个字符和$cipher的每一个字符进行异或运算,如果字符长度不相等就循环
- }
- return $r;
- }
- if(isset($_POST['login']))//判断POST传入的login是否为空
- {
- $username = $_POST['username'];
- $password = $_POST['password'];
- if($username === $_username and $password === $_password)
- {
- setcookie("user",encrypt('admin'));//登录成功后给客户端传回一个cookie:user=admin加密后的值
- echo "<p>Welcome admin</p>";
- echo "<p>You are not system,I can not give you flag</p>";
- }else{
- echo '<p>username or password is error</p>';
- }
-
- }
- else
- {
- $user=$_COOKIE['user'];//接受cookie里面user的值
- $phpsession = $_COOKIE['PHPSESSID'];
- if(empty($user))//判断user是否为空,为空的话就给客户端传回一个cookie:user=admin加密后的值
- {
- setcookie("user",encrypt('admin'));
- exit(0);
- }
- if(empty($phpsession)){
- die('Need PHPSESSID');
- }
- if(decrypt($user)==='system'){//客户端发回的cookie里面user的值解密后全等于system就返回flag
- echo "<p>welcome system, the flag is ".$flag."</p>";
- }
- else{
- echo '<p>Not authorized ! Please login</p>';
- }
- }
- ?>
|
|
发表于 2021-9-10 08:02:33