我正在进行在线“黑客攻击”挑战,我正试图进入下一个级别。
在目前的水平上,我们给了标题“快速思考”,问了下面的问题,
“Fibonacci序列中的元素x是什么,其中元素零是0?”
其中x是随机生成的。
当我计算答案并提交答案时,它会提示我上面的问题的另一个改变(x的值不同),并说“没有足够快地回答”。我尝试尽可能快地提交答案但没有用,所以必须有另一种方式。
如果我们查看页面的源代码,我们会看到以下内容: (我只会发布我觉得有趣/相关的部分)
<form action="herecomes9.php" method="get">
<input type="text" name="answer" />
<input type="hidden" name="timestamp" value="1311528704" />
<input type="hidden" name="number" value="274" />
<input type="hidden" name="hmac" value="6d423e4405ceb79022662fbf5d1d2885c51b6ada2ad5e99500a3fbc4d0170b4fd9c7fd22af9a7e542617a5924586ca7e41860e17289120d1a899f1bcac007df3" />
<input type="submit" value="Answer" />
</form>
所以我的下一个想法是通过更改网址中包含的信息来编辑时间戳,就像这样
(只是一个例子来解释我的做法,可能与上面代码中列出的答案,时间戳,hmac不匹配)
HTTP://www.skullspace.net/2011/08-batman/herecomes9.php回答= 1&安培;时间戳= 1&安培;数= 1&安培; HMAC = e41bd1f9093a67b70ce9316b19abc1862ec 35c5c0f746444d8018286bf19d9adb05a652c46b5de53b2d4f d6bfb2c1f848c8dc92a54e84d042953d6b48b30b0f9
如果我将其提交到我的浏览器中,我们会给出标题,“不要试图变得聪明,HMAC必须与您给出的参数相匹配。”
这就是我被困住的地方。
有没有人对我如何进入下一个级别有任何想法或提示?我可以以某种方式使HMAC匹配吗?还有另一种方式吗?
感谢您的想法/输入/帮助!
答案 0 :(得分:1)
我建议您编写一个解析页面并立即响应的脚本,而不是试图打破HMAC。
HMAC是一种身份验证代码。它的目的是确保安全,它使用一个你很幸运能够打破或猜测的秘密密钥(换句话说,这不是前进的方式)。