Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Этичный хакинг или пентестинг (https://forum.antichat.xyz/forumdisplay.php?f=209)
-   -   Помогите решить задание (https://forum.antichat.xyz/showthread.php?t=470273)

e_man2008 26.04.2019 11:56
Всем привет. Прошу помоч решить задание.

На сайте две кпопки. Одна "Home" другая "Admin".

Под кнопкой "Home" следуйщий линк:

Код:
Code:
http://machines.capturetheflag.cir:4003/web4/index.php?auth=eyJ1c2VybmFtZSI6Imd1ZXN0IiwiYWRtaW4iOmZhbHNlfQ==&digest=6670eb86f37f347fbece91f48af2da68
Под кнопкой "Admin" следуйщий линк:

Код:
Code:
http://machines.capturetheflag.cir:4003/web4/admin.php?auth=eyJ1c2VybmFtZSI6Imd1ZXN0IiwiYWRtaW4iOmZhbHNlfQ==&digest=6670eb86f37f347fbece91f48af2da68
Если я жму на "Admin" выпрышивает "Acces Denied" . Как мне изменить строку в запросе под кнопкой "Admin"?

За раниее оброиное спасибо.

MichelleBoxing 26.04.2019 13:56
Цитата:
Сообщение от e_man2008
e_man2008 said:

Если я жму на "Admin" выпрышивает "Acces Denied" . Как мне изменить строку в запросе под кнопкой "Admin"?
у тебя в параметре auth закодированная строка в base64, расшифруй ее (например тут) Попробуй поменять какие то данные в этой закодированной строке, закодируй обратно в base64 подправленные данные и отправляй на сервер.

.SpoilerTarget" type="button">Spoiler: P.s
лучше наверное было тут спросить

BabaDook 26.04.2019 16:55
Что - это за ctf такой?

Code:

http://machines.capturetheflag.cir:4003/web4/index.php?auth=eyJ1c2VybmFtZSI6ImFkbWluIiwiYWRtaW4 iOnRydWV9&digest=c72aa1b03dac01a0901eba8815916270

AbakBarama 26.04.2019 17:04
e_man2008, ещё так попробуйте:

Код:
Code:
http://machines.capturetheflag.cir:4003/web4/admin.php?auth=eyJ1c2VybmFtZSI6ImFkbWluIiwiYWRtaW4iOnRydWV9&digest=c72aa1b03dac01a0901eba8815916270

BabaDook 26.04.2019 17:08
Цитата:
Сообщение от AbakBarama
AbakBarama said:

e_man2008
, ещё так попробуйте:
Код:
Code:
http://machines.capturetheflag.cir:4003/web4/admin.php?auth=eyJ1c2VybmFtZSI6ImFkbWluIiwiYWRtaW4iOnRydWV9&digest=c72aa1b03dac01a0901eba8815916270
Бля, точно. Забыл про этот параметр

e_man2008 28.04.2019 04:24
Очень большое спасибо за ответ. Работает. Но можно обяснить это решение? Я бы хотел понять как ты вышел на это?

MichelleBoxing 28.04.2019 07:39
В параметре digest находится md5 хеш сумма значения параметра auth.

e_man2008 28.04.2019 10:45
Ок и где ты смог его расшифровать?

e_man2008 28.04.2019 10:58
Ок понял. Это мд5 хеш от параметра auth. Ok, спасибо большое за помощ


Время: 05:58