一道爆破密码题

最新推荐文章于 2024-03-10 00:31:51 发布
最新推荐文章于 2024-03-10 00:31:51 发布
阅读量1k 收藏
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FSecurity/article/details/111338295
版权
本文通过一道名为weak_auth的题目,引导读者了解弱口令问题并掌握爆破技巧。首先,尝试登录目标网站失败后,用admin账号进行尝试。接着,分析check.php源代码确认爆破可行性。然后,利用burpsuite抓包工具配合字典进行爆破,最终成功获取flag。
摘要由CSDN通过智能技术生成

题目:weak_auth

在这里插入图片描述

目标:

了解弱口令,掌握爆破的方法

Writeup

(1)打开目标网址,发现需要登陆,于是我们输入账号密码信息

在这里插入图片描述
(2)我们随便输入一个账号密码登陆测试一下,出现下图所示

在这里插入图片描述
(3)看到上图所示,我们下面使用admin账户进行登陆试试,密码自己随便填写一个
在这里插入图片描述
(4)结果还是失败,但是从结果显示可以看出,我们可以对密码进行爆破

在这里插入图片描述

最低0.47元/天 解锁文章
FSecurity
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《WEB安全渗透测试》(15)验证码暴破or账号密码暴破
午夜安全
10-14 2932
《WEB安全渗透测试》(15)验证码暴破or账号密码暴破 这道目名称叫验证码爆破,是对验证码爆破吗?不对,这种说法是不准确的,这里其实是由于验证码机制存在缺陷,无法起到相应的安全作用(防止账号密码暴力破解),从而恶意用户可以利用工具对用户密码进行暴力破解。所以名称叫账号密码暴力破解更加合适。在真实的渗透测试工作中,图片验证码的问广泛存在,主要集中在图片验证码绕过、暴力破解、回显、无效、机器识别等方面。使用Burp抓包,可以发现,提交之后一共2次请求......
BugKu-web15(密码爆破
羽的博客
05-04 385
密码爆破来了 用Burp suite数字密码爆破就好了 目要的也就是你去搞懂密码爆破。学会使用burp suite。 简单抓包,发给Intruder. 攻击模式设置为爆破 设置两个爆破点,(因为爆破时只能是两个及以上) 设置payloads type为Numbers. 并设置为9999~100000. 5位数字。 将线程设置为10 .这样快一点。 剩下就是自动爆破了。 ...
【CTF爆破
qq_74240553的博客
01-17 972
CTF爆破
【CTF练习】Ctfshow入门 爆破(21-24)
Lush_hair_Dl的博客
03-10 1778
爆破常用的工具就是bp的Intruder模块,将抓到的包发送到Repeater(点击action会有相应选项),用字典爆破:本是一个登录窗口,首先第一步就是先输入用户名为:admin(一般没有额外提示就这么猜),密码随便输(此处输入111),然后登录。这一过程的目的是为了抓包查看爆破点有的时候抓包会直接看到用户名和密码的位置,这里就不能直接看到,此处将用户名和密码进行base64加密(对于一串字符后有=,基本就要猜测这一串数据是否是base64加密,解密看看是否有什么信息),解密后发现是。
凯撒密码
weixin_43723935的博客
10-03 6863
为了防止信息被别人轻易窃取,需要把电码明文通过加密方式变换成为密文。输入一个以回车符为结束标志的字符串(少于80个字符),再输入一个整数offset,用凯撒密码将其加密后输出。恺撒密码是一种简单的替换加密技术,将明文中的所有字母都在字母表上偏移offset位后被替换成密文,当offset大于零时,表示向后偏移;当offset小于零时,表示向前偏移。 输入格式: 输入第一行给出一个以回车结束的非空字符串(少于80个字符);第二行输入一个整数offset。 输出格式: 输出加密后的结果字符串。 输入样
【CTF/MISC】一道图片隐写
mengmeng0510的博客
10-28 4570
图片隐写目解思路binwalk工具查看是否有隐藏信息foremost工具提取文件zip2john工具对压缩包进行暴力破解010editer工具查看图片的二进制数据base64在线编码和解码解心得目连接 目是一个图片: 要从图片中拿到flag信息。 解思路 binwalk工具查看是否有隐藏信息 这里我们首先用binwalk工具查看一下是否有隐藏的文件: 分析之后我们发现其中隐藏着一个zip压缩文件,文件名称是flag.rar。所以我们下一步要把压缩文件提取出来。 foremost工具提
面安服的一道笔试
wulanlin的博客
12-31 1188
打算找实习了,在boss上投,简单交流后收到回复,试了下,记录下思路和过程。 资产收集 拿到靶机,指纹识别 根据目提示使用dirsearch进行目录简单扫描,部分结果如下: 找到robot.txt User-agent: * Disallow: /Company_admin/ 访问首页F12查看源码 <!-- author: Ethredah author URL: http://ethredah.github.io --> 找到前端代码作者Ethredah
CRC32爆破小结
热门推荐
0verWatch的博客
02-24 3万+
前言 最近在bugku遇到了一道隐写,binwalk之后发现里面有很多个压缩包。。。。。。然后就无从下手,于是查看别人大佬的wp才发现是CRC32爆破,由于本人第一次遇到这种目,就记录一下吧。。 正文 CRC想必大家都知道,它的全称是循环冗余校验(Cyclic Redundancy Check, CRC),用来校验文件是否出错但并不能用于自动纠错。。emmmm,计组上课好像讲过,...
[HCTF 2018]admin 1 弱口令和爆破解法
hintll的博客
04-04 584
[HCTF 2018]admin 继续buu刷,几天刷到一道比较有意思的: [HCTF 2018]admin 打开环境之后 右上角 点击login 既然目名字都提示了admin 猜测就是弱口令 admin加123 试一下 直接就登录进去了 但是这道绝对没有这么简单 正常应该是先试一下sql注入 但是,这道并没有注入漏洞 那就抓包爆破试一下 爆破密码: 发现长度不一样的就是密码 这是第一种解法 ...
CTF web总结--爆破用户名密码
bob的博客
08-31 1万+
1、burp爆破用户名密码 2、id,userid,useId多试几次 3、爆破后台目录,index.php,users.php,login.php,flag.php 4、脚本:# -*- coding:utf-8 -*- import httplib import re import urllibclass Attacker: def __init__(self, mode, url)
漏洞:弱口令、爆破
mathor的博客
11-01 1万+
成因 弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如”123”、”abc”等,因为这样的口令很容易被别人破解。通过爆破工具就可以很容易破解用户的弱口令。 分类 普通型 普通型弱口令就是常见的密码,比如,目前网络上也有人特地整理了常用的弱口令(Top 100): 123456 a123456 1...
burpsuite爆破登陆密码
Yale的博客
04-04 2万+
实战是违法的,哈哈 这里我们以一道目为例示范如何爆破 目链接:http://lab1.xseclab.com/vcode1_bcfef7eacf7badc64aaf18844cdb1c46/index.php 要求成功登陆获得key流程如下: 1.首先在随便填入密码,正确填入验证码,然后用burp抓包 右键,send to intruder2.进入intruder后,burp会默认
Password cracking
农家小舍
09-18 3336
From Wikipedia, the free encyclopediaPassword cracking is the process of recovering passwords from data that has been stored in or transmitted by a computer system.A common approac
第四届“”世安杯“”线上赛解(Web+Stego+Misc+Crypto)
Assassin
10-08 4761
目很多原,但是还是考验了不少的知识点,就算是原来见过的也当做是复习了一下知识点了。 WEB ctf入门级目 非常水的一道,可以看到源码,然后利用%00截断就可以通过了 曲奇饼 原,直接利用line和file来泄露文件内容,通过臊面轻松知道存在index.php,然后利用一下得到源码审计 #_*_coding:utf-8_*_ import requests s=r
通过CTFShow例掌握爆破方法
qq_54502707的博客
01-28 2973
大家好,这里是KOKO师傅~ 之前我们以CTFShow的例对信息收集类WEB目进行了针对练习,今天我们继续进行爆破模块的针对练习!
使用python验证码识别来爆破网站后台
chaootis1的博客
01-19 5227
使用python验证码识别来爆破网站后台 在我的上一篇博客中,讲解了我用python来识别验证码的原理,对于有些人来说,他可能并不想知道验证码识别的原理,只是想寻找方法去识别验证码从而使用脚本登录网站或者爆破网站的密码。 这几天我把我之前的代码重写了一下(之前写的真的很乱,一般人都看不下去),现在只需要改一下配置文件,你就可以定制自己的目标网站的验证码识别。 1. 运行环境为python3
关于burp suite工具的弱口令爆破
sworddancing is the best one
07-18 6420
并非所有的弱口令都可以爆破,只有那些明文密码才可以利用burp suite工具进行侵入爆破,首先将数据包拦截,查看其密码是否为明文,如果是明文,才可进行一下步骤,如果不是明文密码,本文则无法实现密码的1爆破。 在proxy下action选项卡选择sent to intruder(将拦截到的数据包传送到intruder工具下),打开position,先clear清空一下默认所选中的爆破对象,然后选...
攻防世界刷记录
Luiino的博客
08-17 397
中间都被空格隔开了,在键盘上比划一下,得到每一组被包起来的字符:tongyuan,去提交发现不对,再换成大写试一下,🆗了。504B0304,zip文件开头,复制数据,打开WinHex,剪贴板数据,保存为新文件,加上zip后缀,得到压缩包。下载附件得到一个有很长英文的文件,大致就是简单的对话,但会时不时的冒出大写的字母,将它们筛选出来得到,兴冲冲去提交,但错了,回过头再来看看有什么错过的信息,发现上面相同的字母,在下面也相同,如M和I,L和D,但需要密码,试着爆破一下,直接成功了(只选了数字)...
python爆破密码字典
最新发布
04-26
爆破密码字典是一种尝试猜测密码的方法,它通过遍历可能的密码组合来找到正确的密码。在Python中,你可以使用一些库和技术来实现密码爆破。 一种常见的方法是使用Python的requests库发送HTTP请求,并结合一个密码字典来尝试不同的密码。你可以编写一个循环,遍历密码字典中的每个密码,并将其作为参数发送到目标网站的登录接口。如果返回的响应状态码表明登录成功,那么这个密码就是正确的。 以下是一个简单的示例代码,演示了如何使用Python进行密码爆破: ```python import requests target_url = "http://example.com/login" # 目标网站的登录接口 passwords = ["password1", "password2", "password3"] # 密码字典 for password in passwords: payload = {"username": "admin", "password": password} response = requests.post(target_url, data=payload) if response.status_code == 200: print("密码破解成功!密码为:", password) break ``` 请注意,密码爆破是一种不道德且非法的行为,违反了许多国家和地区的法律法规。在实际应用中,请确保遵守法律和道德规范,并仅在合法授权的情况下使用相关技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值