【web-ctf】ctf-pikachu-暴力破解

已于 2023-05-24 08:40:28 修改
阅读量3.4k 收藏 26
点赞数 5
分类专栏: ctf 文章标签: web安全 安全
于 2022-06-11 14:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dajian1040556534/article/details/124716069
版权

文章目录


burpsuite配置

  1. 火狐浏览器需要导入证书
  2. 如果无法抓到127.0.0.1的包,可以试试以下操作

暴力破解(Brute Force)

有效的字典:

  1. 常用的账号密码(弱口令),比如常用用户名/密码TOP 500等。
  2. 互联网上被脱库后账号密码(社工库),比如某平台泄露的用户信息。
  3. 使用指定的字符使用工具按照指定的规则进行排列组合算法生成的密码。

判断是否存在暴力破解可能性:

  1. 是否要求用户设置了复杂的密码
  2. 是否每次认证都使用安全的验证码
  3. 是否对尝试登陆的行为进行判断和限制
  4. 是否在必要的情况下采用了双因素认证

暴力破解漏洞测试流程:

  1. 确认登陆接口的脆弱性(爆破可能性)

比如:尝试登录——抓包——观察验证元素和response信息,判断是否存在爆破可能性。

  1. 对字典进行优化

根据实际情况对字典进行优化,提高爆破过程效率。

(1)小技巧:可以先在该平台注册一个账户,观察账户和密码的格式要求,然后删除字典中不符合要求的字符串,再进行爆破,会提高效率。
(2)小技巧:如果爆破管理后台,一般系统管理员的用户名为admin/administrator/root的几率比较高,可以先尝试这三个用户名。

  1. 工具自动化操作

1.基于表单的暴力破解

使用burpsuite工具中的intruder模块进行暴力破解:intruder模块使用教程

  1. 先随便输入一个username和password
    在这里插入图片描述

  2. 利用burpsuite进行抓包
    在这里插入图片描述

  3. 将抓到的包导入intruder模块(在空白处右键,选择send to intruder)
    在这里插入图片描述

  4. 选择需要暴力破解的变量和攻击方法

    从图中可以看出,intruder模块已经为我们自动筛选出了四个可以爆破的变量,因为我们只需要对username和password进行爆破,所以只要选择这两个变量即可。

    (1)点击右边的clear,删除选中的变量
    (2)再点击右边的add,将username和password选中
    (3)选择sniper攻击方式
    在这里插入图片描述

  5. 选择payloads方式并攻击

    (1)添加弱口令
    可以去网上下载弱口令文件(因为这是练习,所以我就随便添加了几个简单的弱口令)
    在这里插入图片描述

    (2)点击右上角start attack进行攻击
    在这里插入图片描述
    发现当password='123456’的时候,respond数据包的长度和其他的不太一样,因此我们可以重点观察这种情况。

  6. 查看异常情况的respond数据包

    发现这种情况下,返回数据包中有个login success的字段,可以判断该种情况就是正确的账号和密码组合,因此username=‘admin’,password=‘123456’
    在这里插入图片描述

  7. 修改数据包

    回到抓包界面,修改账号和密码,然后点击forward发送出去
    在这里插入图片描述
    观察到网页上出现了login success,表示登陆成功。
    在这里插入图片描述

2.验证码绕过(on server)

在这里插入图片描述

  1. 先随便输入一个username和password
    在这里插入图片描述

  2. 利用burpsuite进行抓包
    在这里插入图片描述

  3. 此时要测试该验证码会不会在服务端被及时销毁,我们先将数据包发送到重放模块(Repeater)
    在这里插入图片描述
    保持验证码不变,通过修改几次username或者password并进行重放,发现收到的回应数据包长度一致,因此推测回应数据包都是因为同一种原因无法登录(即username或password错误,并没有因为验证码错误导致无法登录),大致可以判断尝试登陆的这几次操作,服务器端都用的同一个验证码(验证码可以重复利用),因此我们只要保证验证码不变,对username和password进行爆破就可以了。

  4. 后面的操作和第一个基本一致,就不再赘述了。(只要保证不变验证码,对username与password进行爆破即可)

3.验证码绕过(on client)

  1. 先随便输入一个username和password和正确的验证码,然后再随便输入一个username和password和错误的验证码。观察二者区别。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

发现输入错误验证码时,网页弹出窗口,可以猜测是在前端生成和判断验证码,于是我们查看源码发现的确是在前端生成的验证码。

所以很有可能这个验证码并没有通过后端进行对比验证。我们对数据包进行重放,不输入验证码,发现返回数据中并没有提示“请输入验证码”,因此可以判断的确没有通过后端验证。
在这里插入图片描述

因此我们只需要截取数据包,然后直接进行爆破,就可以绕过前端的判断。

  1. 利用burpsuite进行抓包
    在这里插入图片描述
  2. 发送到intruder模块进行爆破,操作方法和第一个一样。客户端验证码与服务器端验证码区别在于,如果使用服务器端验证码,我们必须保证验证码是正确的,在这个基础上进行爆破。客户端验证码就不用保证验证码的正确性了,甚至删去验证码字段进行登录也是可以的。如图所示:
    在这里插入图片描述
    在这里插入图片描述

4.token(令牌)防爆破

什么是token

先说下结论:token并不能防止爆破。
我们可以从它的流程中推断出来:

使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。大概的流程:

1.客户端使用用户名和密码请求登录。
2.服务端收到请求,验证用户名和密码。
3.验证成功后,服务端会生成一个token,然后把这个token发送给客户端。
4.客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。
5.客户端每次向服务端发送请求的时候都需要带上服务端发给的token。
6.服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数7.据。(如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。)

第三步就存在漏洞了。

每次提交要验证token值(每次更新),表面上可以防止暴力破解,但后端每次产生的token以明文形式传到前端,漏洞就这样产生了,黑客可以在每次暴力破解之前,获取一下token值,然后填到字典里面,就可以进行暴力破解

  1. 查看网页源代码(按F12),发现里面有一个字段存储着token值
    在这里插入图片描述
  2. 用burpsuite抓取数据包
    在这里插入图片描述
    我们只需要暴力破解username与password,然后再获得对应的token值,一并爆破即可。

但是每次在暴力破解之前打开html找新的token再贴到burpsuite的相应位置就很麻烦,我们要考虑暴破时怎样才能带上正确的token值。我们可以利用intruder模块中配置payload为Recursive grep来对token进行递归提取。配置方法如下:

(1)首先先确定爆破变量为password 和 token
在这里插入图片描述

(2)然后对token变量选择负载类型为Recursive grep
在这里插入图片描述
(3)进入options进行配置,找到grep-extract模块,点击add,从网页源代码中选中token的位置,会自动生成正则表达式用于提取。
在这里插入图片描述
因为是一种递归操作,第二次爆破要依赖于第一次爆破后得到的token值,因此不能使用多线程,所以再配置一下线程。
在这里插入图片描述
(4)最后在为password配置一下字典,然后进行爆破即可。
在这里插入图片描述

5.总结

  1. 不安全的验证码- on client 常见问题

    (1)使用前端js实现验证码(纸老虎)
    (2)将验证码在cookie中泄露,容易被获取
    (3)将验证码在前端源代码中泄露,容易被获取

  2. 不安全的验证码- on server 常见问题

    (1)验证码在后台不过期,导致可以长时间被使用
    (2)验证码校验不严格,逻辑出现错误
    (3)验证码设计的太过简单和有规律,容易被猜解

  3. 防范措施

    (1)设计安全的验证码

     	1.在后端对验证码进行对比判断
 	2.判定验证码是否为空,是否正确
 	3.判定后销毁验证码
 	4.设置定时销毁验证码

    (2)对认证错误的提交进行计数并给出限制,比如连续5次密码错误,锁定2小时
    (3)必要的情况下,使用双因素认证

CTF总结-WEB
qq_42747131的博客
05-12 2223
WEB知识点整理 常见的备份文件格式:.git .svn .swp .svn .~ .bak .bash_history 比如主页文件是index.php,那么它的备份可能就是index.php.bak,此时直接作为url输入即可下载备份, 如[ www.baidu.com/index.php.bak ](然而百度的并不能) robots协议:参考博客 cookies、会话:参考博客1、参考博客2 GET转POST:参考博客 主要是记住这句话 Content-Type: application
CTF-暴力破解
DUOan0216的博客
10-19 2171
简述 Burte Force(暴力破解)概述 “暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,...
CTFShow Web 入门爆破题(web21 -web28) WriteUp
最新发布
weixin_75168674的博客
04-05 392
如果你想要每一题更详细的脚本或抓包演示,也可以告诉我,我来帮你生成或补充。或者这些值是 predictable,比如 timestamp 是当前时间戳。或者验证码只对第一步生效,尝试使用 Cookie/session 绕过。错误提示可能不同,比如“用户名不存在”和“密码错误”。抓包后观察验证码请求接口,看返回的是不是一个固定值。是否可以不提交或任意值?验证码只校验一次(验证码逻辑和登录逻辑分开)。验证码图片是静态图片,或者内容固定。某些参数其实并不验证,可以尝试绕过。或类似的路径,直接返回验证码值。
CTF-web暴力破解
IT小学子的博客
05-03 851
web暴力破解 针对wordpress网站 use auxiliary/scanner/http/wordpress_login_enum 为当前wordpress模块 set username admin 网站用户名 set pass_file /usr/share/wordpress/dirb/common.txt 密码字典位置 set targeturl...
《11招玩转网络安全》之第三招:Web暴力破解-Low级别
kgsew的专栏
07-09 1250
Docker中启动LocalDVWA容器,准备DVWA环境。在浏览器地址栏输入http://127.0.0.1,中打开DVWA靶机。自动跳转到了http://127.0.0.1/login.php登录页面。输入默认的用户名密码admin:password登录。单击页面左侧的DVWA Security,进行安全级别设置,如图3-18所示。图3-18  DVWA安全级别DVWA的安全级别有4种,分别为...
web-报错注入-皮卡丘靶场
07-15
`admin' and updatexml(1,(select concat(0x7e,(select table_name from information_schema.tables where table_schema='pikachu' limit 0,1),0x7e)),1)`这个Payload则更进一步,尝试获取数据库`pikachu`中的第一...
CTF-WEB_ctf代码(1)
2401_84297035的博客
04-28 722
*在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。> **但是此时浏览器渲染的%00可以直接手动换为具体的字符串,或者在菜鸟工具里面把最后一行加个urlencode()函数编码,直接编码为url,避免在序列化内容过多的时候手动该%00过于麻烦,但是此时就需要在一堆编码里面准确的找到类的个数是哪个,一般来说类的个数处于两个冒号之间,冒号的url编码是%3A,所以找到偏前面一点的,在两个%3A之间的数字改大一点就可以了****一个人可以走的很快,但一群人才能走的更远!
pikachu暴力破解 验证码破解 token绕过)4-1 实操 全解 pikaqu密码爆破 皮卡丘
weixin_67567251的博客
05-12 1255
基于表单的暴力破解 随便输出用户名 密码提交,使用burp suite 抓包 空白处右击 ①点击Send to lntruder ②点击导航栏lntruder 进入lntruder 1.后点击position 2.点击clear 先双击提交的用户名然后点击add 使用户名处于选中状态 密码同理 用户名和密码都处于选中模式后 单击下拉框选择第四种模式 为第一个数值(用户名选定爆破的库) ,没有密码库的话自己做一个创建一个txt文件以这种格式...
WEB漏洞-文件操作
weixin_46544151的博客
04-26 2133
目录 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 ​2.有限制文件包含漏洞 二、远程文件包含代码测试——原理 1.无限制 2.有限制 三、各种协议流提交流测试-协议 四、某CMS程序文件包含利用-黑盒(ekucms) 五、CTF-南邮大学,i春秋百度杯真题-白盒 1.南邮CTF 2.i春秋-CTF 31、文件操作之文件包含漏洞全解 一、本地文件包含代码测试——原理 1.无限制包含漏洞文件 在phpstudy根目录下创建inc
CTFweb相关靶场推荐与环境配置
kingdring的博客
09-30 5109
ps:国庆假期少事情多就不更新了 今天来一波猛的 想起来没有给大家推荐过实战的平台 今天来安利一波 这篇很长 相比上一篇sqlmap的配置而言内容很多 有问题的小伙伴欢迎留言哦 在线练习平台 bugku XCTF攻防世界 比较基础的两个网站 题目有很多 并且网上有很多题目的write up 而且上面包含有其他类型的题目 大家可以都去体验一下 感受一下不同题目不同难度的魅力 本地主机搭建靶场 这部分重点说一下 总会有像我一样的一批人对网上的内容有一点芥蒂 比较喜欢在自己电脑上配置靶场的环境 让自己不受网络的
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF-Show密码学:ZIP文件密码破解【暴力破解
qq_22841387的博客
06-23 5305
通过这次挑战,我们掌握了如何从题目提示中推理出有效的密码破解策略,尤其是在已知密码特定格式和范围的情况下,如何选择合适的工具进行暴力破解
CTF Web burpsuite之暴力破解
weixin_43982276的博客
10-07 713
CTF Web burpsuite之暴力破解 burpsuite是一个应用很广的黑客工具 功能也还不错 适合初学者 首先要设置代理 找到proxy里面的option属性 查看默认端口 一般为127.0.0.1:8080 设置浏览器端口与burpsuite一致 找到一个用户名密码在截获之后都为明码的网站(安全属性较低) 随意输入用户名和密码 具体如下 ...
CTF-14.web安全暴力破解
woo233的博客
09-26 909
穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。Web安全中的暴力破解也是利用尝试所有的可能性最终获取正确的结果。提权时可以抓取/etc/passwd和/etc/shadow,之后使用join来破解对应的密码,然后使用对应的用户名密码提升root权限;
Pikachu靶场--暴力破解
qq_65150735的博客
06-12 1190
Pikachu靶场--暴力破解
web-ctfctf-pikachu-XSS
一个努力生活的人的博客
06-27 2923
XSS-pikachu
CTFWEB基础篇
喜欢Python编程的程序员柚柚呀
10-16 1103
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
buuctf Web-DVWA 100
02-13
### 关于BUUCTF Web DVWA 100解题思路 对于DVWA(Damn Vulnerable Web Application),这是一个专门为教育目的设计的应用程序,旨在展示各种常见的Web漏洞及其利用方法。针对DVWA中的不同难度级别,每种挑战都提供了不同程度的安全防护措施。 #### SQL注入攻击案例分析 在处理SQL注入时,了解应用程序如何构建查询至关重要。例如,在某些情况下,如果输入未被适当过滤,则可以通过操纵URL参数来影响数据库查询的结果[^4]。这表明理解目标应用的数据结构以及其背后的逻辑非常重要。 #### 实战练习平台介绍 为了更好地理解和实践这些概念,可以使用像Pikachu这样的实战靶场环境来进行实验[^3]。这类平台通常包含了多种类型的漏洞供学员测试不同的攻击向量和技术手段。 #### HTTP头部相关题目解析 考虑到很大比例的CTF竞赛中的Web类目会涉及到HTTP协议头的信息泄露等问题[^2],因此掌握这一部分的基础知识同样不可忽视。当面对仅涉及HTTP头而不与其他复杂知识点混合的情况时,这些问题往往相对简单得多。 #### 提高技能的学习路径建议 想要精通此类题目并最终解决更复杂的挑战,应该遵循一个合理的学习路线图。可以从基础开始逐步深入到高级主题,并通过参与实际的比赛积累经验[^1]。 ```python # 示例代码用于说明SQL注入原理而非真实操作 import requests def test_sql_injection(url, param_name): payload = "' OR '1'='1" params = {param_name: payload} response = requests.get(url, params=params) if "success" in response.text.lower(): print("[+] Potential SQL Injection vulnerability detected.") else: print("[-] No obvious signs of SQL Injection.") test_sql_injection('http://example.com/vulnerable_page', 'id') ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值