【网络安全 | CTF】攻防世界 weak_auth 解题详析

已于 2024-05-31 09:46:42 修改
阅读量5.3k 收藏 7
点赞数 2
分类专栏: CTF 文章标签: web安全 CTF 网络安全
于 2023-05-21 09:44:05 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/130788810
版权

文章目录


题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。

在这里插入图片描述

正文

用户名1,密码1,回显如下:
在这里插入图片描述

提示使用用户名admin登录

用户名admin,密码1进行登录

回显如下:

在这里插入图片描述

正常来说,登录失败时会重定向至Login页面,而该页面没有重定向到登录界面

查看页面源代码:

在这里插入图片描述

提示使用字典

Burp Suite 爆破

姿势较简单,本文不再赘述。具体步骤参考:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
网络安全攻防大赛ctf题目
03-09
网络安全攻防大赛ctf题目
攻防世界weak_auth详解——爆破)
l2ohvef的博客
11-10 413
3、打开position,点击Clear,选中账号,点击Add;选中密码,点击Add;Attack type>Pitchfork ,开始爆破。1>payload set表示爆破参数,用户名和密码是两个爆破参数,故填选2;5.返回结果如图所示,状态码200表示访问成功,返回长度与其他不同的即为正确的账号密码。2.输入用户名和密码,burp抓包,然后发送到Intruder(爆破)6.得到账号:admin 密码:123456,登录后得到flag。1.打开burp,打开浏览器代理,打开网页拦截。
CTF-WEB攻防世界题目实战解析weak_auth
2301_76565920的博客
04-20 956
题目:weak_auth(弱认证) 难度:1
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1830
一、在CTFWeb题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
bp字典爆破——攻防世界weak_auth
热门推荐
AmrYu的博客
11-27 1万+
使用burpsuite跑字典——weak_auth 来到这个题目界面,我们在这里先随便输入一个username和password然后点击登录: 当我随便输入一个username和password之后,弹出弹窗提示“please login as admin”。密码我们暂时不知道,不过看这个弹窗的意思username应该是填admin了。 当得到这个用户名之后,我们就可以使用bp这个软件来进行字典的爆破了。首先第一步就是 抓包 我们要抓的包:当输入用户名和密码之后,点击登录之后的包,在你抓到的包
攻防世界 web新手题 weak auth详解
qq1070926840的博客
11-14 1134
攻防世界 web weak_auth 奶妈详解 本人小白,刚刚步入ctf世界,借这个平台写点东西来提升自己水平,咳咳有啥缺陷还请大佬指正。哈哈哈,我甚至连博客编辑都没搞明白。废话不多就上题吧。 当然,首先看到题目可以知道本体与弱密码相关。 啊哈哈哈哈!这题估计也为了教育教育我们网络安全意识吧,毕竟弱密码在生活中还是非常常见的。为了省事设个弱密码,或者是和我们生活相关的容易被猜到的密码。比如123456,666666,或者名字拼音和生日,都是极其容
攻防世界-webweak_auth
weixin_73625393的博客
10-30 295
l选项支持@,%^;解释:生成4个字符形式的字典,选用字符集mixalphanumeric-all-space,输出文件名为w.txt,满足【小写字母+d+小写字母+小写字母】的样式,起始字典为cdab。crunch 4 4 -t @,%^ -o 1.txt -z 7z # 生成四位数的字典,满足【小写字母+大写字母+数字+符号】的形式,输出文件名为1.txt,压缩成7z格式。crunch 6 6 -t @,%%^^# # 生成6位数的字典,满足【小写字母+大写字母+数字+数字+符号+符号】的形式。
weak_auth
weixin_63289925的博客
01-09 2840
先看看weak_auth是啥意思 发现是弱密码 打开题目链接 随便想一个用户名密码输入进去 于是我随便输入用户名为admin,密码为123456,结果还真出现了flag 我这猜的技术???? (达咩哟),于是我又重新想了一个,新页面出现了告诉我把用户名当作admin 于是用F12来看看,发现了一句英文,我可能需要一本字典,说明是爆破题 (小插曲:我单纯想看看Repeater有没有什么隐藏信息,结果发送一下,出现了flag,再次达咩呦????)言归正传,用bp爆破 用户名已知是ad
攻防世界-weak_auth
wmr123456001的博客
05-30 261
攻防世界-weak_auth,使用burp精彩破解
360网络安全课程CTF入门视频.zip
最新发布
06-05
11-网络安全实验-永恒之蓝1.mp4 12-网络安全实验-永恒之蓝2.mp4 13-网络安全实验-永恒之蓝3.mp4 14-网络安全实验-永恒之蓝4.mp4 15-DVWA环境搭建-phpstudy使用方法.mp4 16-DVWA-文件上传漏洞基础.mp4 17-BurpSuite...
基于python的网络攻防平台(CTF)设计与实现
07-30
网络攻防演练系统是基于python中flask框架下平台,该平台借助于网上各种CTF靶场设计框架进行构想,搭建一个CTF解题模式为主的网络攻防平台。系统主要完成以下几个模块:用户登录与注册系统模块、用户个人解答详情...
CTF网络安全攻防介绍
12-19
主要介绍网络安全攻防安全知识,以及需要的编码和所需要的
网络安全CTF比赛工具集(整合版)
01-04
涵盖在线工具以及其他好用的工具包, 在线工具:导航型站点,CTF大集合。 CTF工具包:包里有CTF相关的各种工具,包括逆向,解密,WEB,密码学等等,相当有用,可以方便地准备各种CTF比赛。
攻防世界11weak_auth
weixin_49765221的博客
04-17 556
爆破的使用
攻防世界weak_authweb简单)
my_name_is_sy的博客
05-26 1132
题目 : 小宁写了一个登陆验证页面,随手就设了一个密码。 打开后看到是一个登录界面,那么就抓包吧,看看能发现什么。 这里如果随便输入一个用户名的话会提示用户名为“admin”,此处不在赘述。 这里记得设置代理。设置了代理才好抓包。至于抓包工具我是用的是burp,还是很方便的。 如上图,将抓到的包发给测试器, 先清除所有标记,然后选中密码处,点击添加。攻击类型直接选第一个就行,不用改。 负载数因为上面只选了一个密码,所以这里选择1。 载荷类型可以选择简单清单。 选择载入自己的字典。(他给的密码字典.
信安入门(2)
Z_blog
01-31 1132
ctf web题 小宁写了一个登陆验证页面,随手就设了一个密码。 weak auth 首先随便输入用户名和密码 得知用户名为admin,然后我数入密码admin 然后就想到爆破,然后就去搜了下弱密码爆破,发现用户两边的符号要去除 发现123456长度不一样,然后输入123456得到flag X老师告诉小宁其实xff和referer是可以伪造的。 index 首先我搜xff和referer是什么 ...
攻防世界web->新手模式->PHP2,backup,weak_auth,simple_php,baby_web的解法
2301_80337881的博客
11-07 270
题目要求只给我们了一个链接,那我们就点开进去,发现只有一句话,我们输入/index.phps访问他的源代码我们可以知道这题的要求是对admiin进行url编码因为$_GET本身自带一次urldecode,题目本身又进行了一次urldecode,所以要对id赋的值admin进行两次url编码,这是结果%2561%2564%256d%2569%256e所以我们就得到了flag。
帮我解析一下这段Dockerfile FROM ctfhub/base_web_nodejs_pm2 COPY src /home/node/src RUN yarn add xxx; yarn cache clean;
03-08
这段 Dockerfile 是用来构建一个基于 Node.js 和 PM2 的 Web 应用程序的镜像。首先,它从 ctfhub/base_web_nodejs_pm2 镜像中继承了一些基本的配置。然后,它将本地的 src 目录复制到容器中的 /home/node/src 目录下。接着,它运行了三个命令:yarn add xxx 用来安装依赖包,yarn cache clean 用来清理缓存,最后是 CMD 命令,用来启动应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值