PicoCTF findme

## 首頁(其他picoCTF writeup) https://hackmd.io/@sunfrancis12/ry_LLAgp3 作者: [台中教育大學白帽社](https://hackmd.io/@ntcuhack/index) -sunfrancis12 ## findme 這題如果方向對了，其實還算簡單(好像廢話這次需要用到http封包攔截的工具，我用的是[burp](https://portswigger.net/burp/communitydownload)，至於burp的用法我們~~下一期在做一集視頻討論~~ 如果時間可以的話，筆者會後續補上(吧?) ## burp功能介紹: * Proxy: 使Burp作為Web proxy運行，並且位於瀏覽器和目標 Web server之間。可以利用這種方式從Burp攔截、檢查和修改在兩個方向上通過的HTTP內容。 * Scanner: Web 應用程式安全掃描器，用於執行 Web 應用程式的自動漏洞掃描。 * Intruder: 可以利用Intruder進行暴力破解攻擊。也可以檢測 SQL Injection、XSS等等漏洞。 * Spider: 網站爬蟲，自動抓取 Web 應用程式的工具，可以幫助你建立網站Map。 * Repeater: 可以用來手動測試HTTP Request的簡單功能，可以修改Request內容的請求，重新發送並觀察結果。 * Decoder: 將已編碼的數據轉換為其規範形式，或將原始數據轉換為各種編碼和散列形式的工具。 * Comparer: 在任意兩個數據項之間執行比較（一個可視化的「差異」）的工具。 * Extender: 允許加載 Burp 擴展，使用安全測試人員自己的或第三方代碼（BAppStore）擴展 Burp 的功能 * Sequencer: 分析數據項樣本隨機性的工具。它可以用於測試應用程式的會話令牌或其他重要的數據項，如反 CSRF 令牌、密碼重置令牌等。 > 引用自:https://ithelp.ithome.com.tw/articles/10214839 <font color="orange">補充(很重要):</font> 上述的文章裡也有關於burp的安裝教學，但是現在的burp真的很方便不用自己設定proxy還有搞憑證，所以直接用nurp內建的瀏覽器就好 ## Burp啟動 ![](https://hackmd.io/_uploads/SkVmooH6n.png) 點開proxy，進到intercept ![](https://hackmd.io/_uploads/Sy6wijB62.png) 我們這裡要打開Intercept功能，如字面上的意思，intercept可以將封包攔截，同時使用者也可以更改封包的內容，然後在送出 Intercept開啟後，我們打開browser，結果如下 ![](https://hackmd.io/_uploads/HytV2jB6h.png) 貼上連結，會發現進不去網頁，那是因為他的http request被我們攔截了，我們點擊forward讓他送出去 ![](https://hackmd.io/_uploads/SksVy2B62.png) 進到登入介面後隨便登入，他告訴我們必須輸入他要求的帳號密碼 ![](https://hackmd.io/_uploads/SJK9khr6h.png) ![](https://hackmd.io/_uploads/rJeFgnrah.png) 照他說的做後，他把我們導向([redeirect](https://zh.wikipedia.org/zh-tw/%E7%B6%B2%E5%9F%9F%E5%90%8D%E7%A8%B1%E8%BD%89%E5%9D%80))到一個叫做/next-page/的連結，並且攜帶一串id 以下為封包內容: ``` GET /next-page/id=cGljb0NURntwcm94aWVzX2Fs HTTP/1.1 Host: saturn.picoctf.net:57803 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.50 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Referer: http://saturn.picoctf.net:57803/ Accept-Encoding: gzip, deflate Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7 Connection: close ``` 之後又被導向/next-page/，id則不一樣了 ``` GET /next-page/id=bF90aGVfd2F5XzI1YmJhZTlhfQ== HTTP/1.1 Host: saturn.picoctf.net:57803 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.5615.50 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Referer: http://saturn.picoctf.net:57803/next-page/id=cGljb0NURntwcm94aWVzX2Fs Accept-Encoding: gzip, deflate Accept-Language: zh-TW,zh;q=0.9,en-US;q=0.8,en;q=0.7 Connection: close ``` 最後我們被導向到這個頁面: ![](https://hackmd.io/_uploads/rk0sZ3ra2.png) **但是我們這裡要先等等!!!** 根據我的直覺~~(通靈)~~，我覺得那個id非比尋常，看格式有可能是base64的編碼 ``` cGljb0NURntwcm94aWVzX2Fs bF90aGVfd2F5XzI1YmJhZTlhfQ== ``` 我們再把它丟進[cyberchef](https://gchq.github.io/CyberChef/)裡驗證，果然案情沒那麼單純: ![](https://hackmd.io/_uploads/rJmoGnS6n.png) ![](https://hackmd.io/_uploads/BkY-m2rTn.png) ## 細節先看少走十年歪路_(:3 」∠ )_