【网络安全 | CTF】BUUCTF Brute 1解题详析(BurpSuite爆破实战)

已于 2024-05-31 09:51:26 修改
阅读量5.4k 收藏 16
点赞数 4
分类专栏: CTF 文章标签: web安全 CTF
于 2023-04-28 16:32:04 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/130419016
版权

文章目录

爆破模块攻击类型说明

在这里插入图片描述
1、Sniper:对变量进行依次破解,仅一个字典

2、Battering ran:对变量进行同时破解,用户名和密码相同,仅一个字典
即用户名为1密码为1、用户名为2密码为2等进行爆破

3、pitch fork:每个变量对应一个字典,用户名和密码一一对应,两个字典
即用户名字典的第一个payload与密码字典的第一个payload、用户名字典的第二个payload与密码字典的第二个payload等进行爆破

4、Cluster bomb:每个变量对应一个字典,并且交集破解尝试每一个组合,每个用户和每个密码进行匹配,两个字典
即用户名字典的第一个payload与密码字典的第一个至最后一个进行组合爆破、用户名字典的第二个payload与密码字典的第一个至最后一个进行组合爆破等

题目

在这里插入图片描述

操作

1.Burp抓包

在这里插入图片描述单独抓包时回显仅用户名错误,考虑先爆破用户名。

2.添加数据

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
利用Burpsuite爆破Tomcat密码1
08-03
格式: 户名:密码 => admin:123456 => YWRtaW46MTIzNDU2这我们可以采Metasploit中的tomcat爆破辅助模块,当然也可
ctf列移位密码自动暴破
12-01
ctfctf列移位密码自动暴破,在使用栅栏和变异栅栏破解无果的情况下,可以使用这个脚本试一下,需要手动修改脚本中密文、列数和明文首字母,
BUUCTFWeb题解
xuanyulevel6的博客
08-08 5169
BUUCTFWeb题解
爆破BUUCTF->BUU BRUTE 1
2203_75773407的博客
10-30 178
爆破是通过大量的尝试来破解一些密码。
利用burpsuite爆破弱口令密码
2301_80453793的博客
05-27 574
这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择user=和pass=后面的东西add加上§§符号。这时我们右击空白的地方,选择快捷键为ctrl+i的这一行,然后点击intruder。点击clear先清除§§符号,再在选择pass=后面的东西add加上§§符号。先打开burpsuite的抓包功能,然后在网站中随便输入一个账号和密码,点击登录。先打开burpsuite的抓包功能,然后在网站中随便输入一个密码,点击登录。
BUUCTF Misc杂项前十二道题的思路和感悟
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7615
BUUCTF题目Misc部分wp(持续更新)
buuctf-BUU BRUTE 1
m0_74013288的博客
09-24 885
当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码,同样,它也不是一个真正意义上的密码,而是一个【拥有不同变体的格式】打开靶机后,我们可以看见一个登录界面,随机输入账号与密码,显示错误,那么Brup Suite进行爆破,找到正确账号为admin。需要注意的是,以下所有万能账号中的 a 可以是自定义的数字或字母,比如 1,2,3,b,c,d。密码随便输入,比如 123456。万能密码的使用:用户名输入 【万能密码】,比如 admin’ #需要注意的是:万能密码中的 admin,必须是真实的用户名。
CTF练习】Ctfshow入门 爆破(21-24)
Lush_hair_Dl的博客
03-10 1729
爆破题常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本题是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
BUUCTF basic BUU SQL COURSE 1
网安小趴菜
08-25 1109
BUUCTF basic BUU SQL COURSE 1
BUU BRUTE 1
weixin_57439582的博客
03-04 270
ctf BUU BRUTE 1
360网络安全课程CTF入门视频.zip
最新发布
06-05
网盘文件永久链接 01-CTF基础-音频文件解析以及winhex等工具的使用1.mp4 02-CTF基础-音频文件解析以及winhex等...17-BurpSuite工具的使用-火狐代理.mp4 18-渗透测试基础1.mp4 19-渗透测试基础2.mp4 ................
Burp Suite 下载
09-06
Burp Suite 是用于攻击web应用程序的集成平台,包含了许多工具。同时还可以做抓包分析、密码暴力破解等,是比较常用的一款网络安全的工具。 对于需要其他的网络安全及计算机方面的工具也可以给我私信哦~~~
网络安全CTF比赛工具集(整合版)
01-04
涵盖在线工具以及其他好用的工具包, 在线工具:导航型站点,CTF大集合。 CTF工具包:包里有CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛CTF(Capture The Flag)是一种流行的竞赛形式,旨在提升参赛者的网络安全技能,包括漏洞...通过参加这样的比赛,参赛者可以全面提升自身的网络安全实战能力,为应对现实世界中的安全挑战做好准备。
Burpsuite_v1.7.30专业破解版
07-07
Burpsuite_v1.7.30专业破解版,Web渗透测试神器,CTF必备工具。
CTF实战训练日志——2021-10-14(六)
热门推荐
stybill的博客
10-14 5万+
题目:利用Burp进行重放攻击计数 URL:http://www.czlgjbbq.top/GJCTF/brute2.php/ 解题思路 当输入正确的数之后,会显示你还需要输入的次数 通过控制台,我们会发现输入次数方面仅仅是字符串显示的,而不是一个字段,这样就得出一个结论,利用burp抓包时,修改次数是不行的,因为字符串会变回下一步的状态,而真正的解题要点在于,系统会在后台统计次数在返回次数结果给我们,我们无法直接改变后台的数据,我们只能一个一个的去试,让后台一个一个叠加。 通过burp.
使用burpsuite解决ctfweb
weixin_42349846的博客
11-04 2284
1.解码cookie http://117.34.116.134:8085/xatu/web8/
CTF中压缩包解密的几种常见方式
BlusKing
12-10 4万+
  压缩包解密通用方法: 1.用winhex打开,搜索字符pass 、 key 等,查看是否有含有压缩包密码 2.如果要爆破: 先0-6位数字来一遍 3.如果爆破不成功可以根据题意或者社工 猜密码组合。例如某用户名叫王方,密码就有可能是wangfang123.     crc32爆破: 压缩包压缩文件会附带crc32校验码,如果字节长度比较短的话,可以尝试crc32爆破。 比方说...
BUU BRUTE 1 1
09-18
BUU BRUTE 1是一个爆破任务,根据引用所述,首先尝试爆破用户名,可以选择一个适合的字典进行爆破。接着,根据引用所述,可以切换到密码爆破模式,使用适当的字典或数字列表进行爆破。最后,根据引用所述,通过查看响应来获取flag。具体操作步骤如下: 1. 打开Burp Suite,配置代理并将目标网站的浏览器流量通过Burp Suite代理。 2. 在Burp Suite的Intruder选项卡中,将攻击类型设置为Cluster Bomb。 3. 在Payload Options中,选择Simple List作为Payload类型,并加载合适的用户名爆破字典。 4. 去掉Payload Encoding选项中的勾选。 5. 点击Start Attack开始用户名爆破。 6. 根据引用所述,接着切换到密码爆破模式。在Payload Options中,将Payload类型设置为Numbers,或继续使用Simple List加载包含0000~9999的密码字典。 7. 再次点击Start Attack开始密码爆破。 8. 查看响应,找到正确的密码并获取flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值