Sto risolvendo una sfida CTF ed è multistrato: link
(I browser moderni non supportano più le applet Java e ho dovuto scaricare il browser Opera 9.x per eseguire correttamente l'applet.)
Mi rendo conto che ho bisogno di forzare la Java Applet per trovare la giusta combinazione di impostazioni.
Quello che ho provato:
-
Ho notato l'applet nella pagina e ho usato
wget
per scaricarlo ejd-gui
per invertirlo. Notato alcune altre classi che tira da e li ho anche scaricati. Ma non vedo come posso ricreare l'app nel mio sistema locale in modo tale da poterlo forzare. -
Usato
Wireshark
per catturare i pacchetti diretti alla pagina web in ordine di manipolare la richiesta e inviare nuovamente le query che usano la forza bruta impostazioni. Tuttavia, la pagina Web è HTTPS (crittografia end-to-end) e quindi non posso veramente leggere la comunicazione dopo che "seguo il TCP flusso "sul browser. - Ho scaricato i file di classe Java e ho provato a ricreare la macchina sul mio sistema locale, ma è complicato e non ho potuto farlo funzionare.
- Usato
Burp Suite
proxy per acquisire le richieste che vanno alla pagina web. Non c'è fortuna lì. Una volta caricata l'applet Java, giocare con le impostazioni non genera nuove richieste nel mio proxy Burp. Quindi niente da catturare e manipolare. Suppongo che ciò avvenga perché l'applet è caricata sul mio client e nessuna richiesta HTTP viene inviata al server quando sto giocando con l'applet Java.
La mia domanda:
Come posso forzare la macchina del rotore nell'applet Java? In altre parole, come posso inviare diversi dati alla macchina e osservare l'output in modo automatico?