CTFHub解题笔记之Web密码口令:1.弱口令

于 2024-12-11 22:47:30 发布
阅读量520 收藏 5
点赞数 15
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CL1799438883/article/details/144411173
版权

1.题目描述

题目位置

网页显示

2.解题思路

看到网页猜测此题可能采用弱口令爆破的方式。

弱口令,可以理解为简单的密码,比如123456,大部分用户会将手机号码,生日,姓名字母缩写作为密码,这也就是弱口令。

弱口令字典,就是包括了一些常见的弱口令和根据特征信息生成的密码(比如你的生日、手机号)。

爆破,就是在工具中导入字典,不断尝试利用字典里的密码去登录,直到返回成功登录的结果。

验证码的出现和输错多次自动锁定等方式正是为了应对密码口令爆破,当然也有工具可以对验证码进行自动识别,不过现在的验证码越来越复杂化,多样化,编写代码也越来越严谨,这就需要用到其他的方法了,此是后话,暂且不提。

以下是一些可能用到的弱口令密码字典下载网站:

常见的弱口令 密码字典 下载网站 - donleo - 博客园

3.解题步骤

这里我们随便输入一个用户名和密码,利用bp工具进行拦截。

将其发送到爆破模块,选中name和password,添加payload位置。

攻击模式选择集群炸弹,也就是利用两本字典,同时对用户名和密码进行爆破。

导入用户名弱口令字典和密码弱口令字典,点击开始攻击。

此时bp开始进行爆破,等待爆破完毕,点击长度,发现一个不一样的数值,这就是正确的用户名和密码。

查看响应,得到flag。

小红卒
关注
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
CTFHub | 弱口令
尼泊罗河伯的博客
10-19 6838
此题目主要是了解对网站弱口令的爆破,首先查看网页,进行手工检查判断是否有网站验证码,此题没有网站验证码相对简单。那么可以使用抓包工具采用集束炸弹的方式进行暴力破解。最后检查攻击日志发现此题 flag 。
CTFHub技能树之密码口令
qq_64948897的博客
08-07 2567
ctfhub技能树--web--密码口令(新手入门教程)
web-密码口令-CTFHub
最新发布
重庆森林不在重庆的博客
10-07 1470
本文是CTFHub技能树Web系列的文章之一,重点学习了在Web安全中如何破解密码口令,包括弱口令和默认口令。爆破是安全的基本功,需要系统训练。
CTFHUB刷题 密码口令/弱口令
null1024的博客
09-05 4449
一、题目描述与分析 由题意,何为弱口令,指的是通常认为容易被别人(他们有可能对你很了解)猜测到或破解工具的口令均为弱口令。这里我们可以尝试暴力破解 二、解题过程 1.登入题目页面,如图 猜测需要提供2.用户名和密码,才能拿到flag,猜测用户名为admin 2.利用Burpsuite抓包 注意到 name=admin&password=123456&referer= 下面进行暴力破解 三.暴力破解 右键-->Send to...
Burp Suite Intruder的4种攻击类型
weixin_30270889的博客
10-24 310
位置:Intruder>1(通常为数字)>Positions,Attack Type下拉有四种,分别为 一、Sniper(狙击手模式) 狙击手模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下组合(除原始数据外): attack NO.locat...
CTFHub--弱口令
qq_46927150的博客
04-25 9674
弱口令 题目链接https://www.ctfhub.com/#/skilltree 通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。 点开题目场景,会看到一个管理后台的登录页面。根据“管理后台”几个字,我们可以猜测用户名为admin 接着随便输入一个密码,打开bp,抓包 选中第二条记录,右击,“Send to Intruder”,打开选项卡Intruder,点...
ctfhub web全部做题记录(持续跟新)
01-08
CTF(Capture The Flag)】CTF是一种网络安全竞赛,其中参赛者通过解决各种安全问题来获取“旗标”(代表分数),这些问题通常涉及逆向工程、密码学、Web安全、取证分析等多个领域。 【Web安全】Web安全是网络...
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
05-13
1. **学习锻炼**:参加CTF比赛是提升Web安全技术能力的有效途径之一。通过实践操作,参赛者能够更加深入地了解Web安全漏洞的原理及如何防范。 2. **漏洞发现**:企业或个人可以通过参与CTF比赛来检验自身Web应用的...
CTF工具之WEB.zip
10-07
【标题】:CTF工具之WEB.zip 【正文】: CTF(Capture The Flag)是一项网络安全竞赛,参与者通过解决各种安全挑战来展示他们的技术技能。这个名为“CTF工具之WEB.zip”的压缩包,显然是专门为参与此类比赛的选手...
CTF学习第十九站——CTFHUB密码口令弱口令
qq_41174589的博客
10-14 667
查看源代码没有发现提示,小小的爆破一手逝逝。先抓包看请求方式,为GET。发现有一个长度不同的。输入密码得到flag。
CTFHub-弱口令
2301_79634616的博客
04-10 381
有的是password,admin888,admin123,admin(0-999)用bp跑出来是666。密码后来看这篇文章打开思路去枚举。用户名用的是admin。
CTFHub 密码口令
qq_58879949的博客
09-06 1258
用burpsuite拦截,并用intruder进行爆破发现长度不一致的密码组合输入后得到flag。
ctfhub-web-信息泄露-弱口令/默认口令
2301_80162151的博客
02-29 617
弱口令是网络安全十大安全漏洞之一,所谓的口令其实就是我们的密码,而弱口令就是相对来说比较容易被破解的密码,它会对信息安全造成严重的安全隐患。弱口令我们可以简单的理解为能让别人随意就猜到的密码,比如abc、111、123、123456、88888888等等诸如此类的密码。除此之外大家都能知道的密码称之为弱口令。④口令为本人相关的名字字母,生日,易被发现的邮箱号,账号名昵称名。既然是弱口令就需要burp爆破,就在测试你密码本。既然是默认口令,在网站上是可以搜到的。将密码添加,简单输入一些弱口令密码
ctfhub密码口令---弱口令
x2813488062的博客
01-30 3694
解题思路 既知道为弱口令 那用户名一般为 admin/user之类 先尝试admin 密码进行爆破 对登录页面进行抓包 先清除所有标识把抓取到的数据密码进行标识(就是需要进行爆破的位置) 加入常用密码,进行爆破 爆破后对比数据长度,发现密码为password 登录网页,拿到flag ...
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 7456
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
CTFHUB弱口令
evil_ming的博客
05-15 470
打开环境 试了些常用的像admin 123456之类的都显示user or password is wrong 干了,bp一下先 发送到intruder导入弱口令字典和纯数字字典然后得到密码admin123 (就离谱)
CTFHub:web前置技能-密码口令-弱口令
wdnmddbl的博客
06-09 894
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
CTF Web解题技巧:寻找FLAG的实战演练
资源摘要信息:"CTF(Capture The Flag,夺旗赛)是一种信息安全竞赛,其中Web解题CTF比赛中的一个重要组成部分。Web解题通常要求参赛者利用各种Web技术漏洞来找到隐藏在网页或服务器中的Flag(标志)。此类比赛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>