攻防世界web练习6

H_S2022

已于 2022-05-15 16:24:43 修改

阅读量194

点赞数

文章标签：安全 web安全

于 2022-05-15 15:51:43 首次发布

本文链接：https://blog.csdn.net/H_S2022/article/details/124783169

版权

攻防世界web练习

六、weak_auth（弱授权）

小宁写了一个登陆验证页面，随手就设了一个密码。

设置密码时要谨慎，最好不要含有个人的信息片段且采用字母加数字加符号等复杂性高的数据作为密码。若怕忘记密码则可以专用一个记录本记下（切记这个本子不要遗失）

http://111.200.241.244:60546/

[目标]

了解弱口令，掌握爆破方法

[环境]

windows10专业版

[工具]

burp suite + 字典 + Firefox中的代理插件——foxyproxy

burp suite 的安装与使用教程：
https://www.cnblogs.com/tangsong41/p/16152023.html

[步骤]

1.随便输入一组用户名和密码，提示要用admin用户登录,然后跳转到了check.php，改为admin登录，但不知道密码，则暴力破解

2.用burp suite拦截下登录的数据包,把数据包发送到intruder爆破

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

H_S2022

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

CTF-WEB(攻防世界题目-新手区)

皮卡乒的皮卡乓

09-27

3422

CTF-WEB新手区view_sourcerobotsbackup 新手区 view_source 题目：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。解：右键有用不了，那就直接用F12，查看源码可以看到这里的注释即为Flag robots 题目：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。解：一进来，啥也没有。根据题目，是robots协议： robots协议也叫robots.txt（统一小写）是一种存放于网站根目录

攻防世界Web新手区题解（超详细）

weixin_52385170的博客

06-21

7133

Web新手区题解

参与评论您还未登录，请先登录后发表或查看评论

信安入门（2）

Z_blog

01-31

1206

ctf web题小宁写了一个登陆验证页面，随手就设了一个密码。 weak auth 首先随便输入用户名和密码得知用户名为admin，然后我数入密码admin 然后就想到爆破，然后就去搜了下弱密码爆破，发现用户两边的符号要去除发现123456长度不一样，然后输入123456得到flag X老师告诉小宁其实xff和referer是可以伪造的。 index 首先我搜xff和referer是什么 ...

攻防世界-web-weak_auth

wuh2333的博客

03-25

233

攻防世界，字典爆破，weak_auth

攻防世界（练习小题）

weixin_45895555的博客

03-23

3871

1、小宁写了一个登陆验证页面，随手就设了一个密码。这个题比较简单，就是一个登录界面，他说随手就设置了一个密码，也没给账号，就直接选个账号输入发现有提示以admin登录以123456为密码直接就得到了flag。 2、小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。这个主要是关于ping的题目这里是引用在网络中ping是一个十分强大的TCP/IP...

攻防世界web练习区题目解答

weixin_46262057的博客

03-22

4886

xctf的web练习区题目解答。

攻防世界web练习11

H_S2022的博客

07-13

251

攻防世界web练习

攻防世界web练习18、19、20

H_S2022的博客

07-13

235

攻防世界web练习

攻防世界 web新手练习区题解下

weixin_46330722的博客

10-30

682

攻防世界 web新手练习区题解下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码，我们直接来分析一下，首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数，并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。访问一下，并传递值为0的a参数可见，$a被判断为了false。这里我们应该看到它使用的比较符==,看一下官方文档。

【攻防世界】weak_auth

Bing_Geng的博客

11-11

219

密码弱口令的爆破以及爆破工具的使用

WEB:小宁写了一个登陆验证页面，随手就设了一个密码。

房东的jian的博客

02-13

5635

描述假设随便登录就会报这样的错 please login as admin 所以我们就登陆admin 然后密码123456就直接过了别问我为什么人生中第一个直接AC的ctf题目 cyberpeace{a94af68050e70b3462816f5ee4bf1552} ...

攻防世界weak_auth解析流程

热门推荐

热爱编程的菜鸟

03-28

1万+

1.随便输入下用户名和密码,提示要用admin用户登入,然后跳转到了check.php,查看下源代用burpsuite截下登录的数据包,把数据包发送到intruder爆破 2.设置爆破点为password 3.加载字典 4.开始攻击，查看响应包列表，发现密码为123456时，响应包的长度和别的不一样. 5.点进去查看响应包，获得flag ...

XCTF1-web disabled_button weak_auth view_source cookie backup

orchid_sea的博客

11-16

512

X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。查看源码吧（这里鼠标右键点不动，直接F12快捷键查看）小宁写了一个登陆验证页面，随手就设了一个密码。直接在源码里就得到了flag。提示flag不在这儿。

XCTF-WEB练习区-006-weak_auth

weixin_42986599的博客

03-27

2207

006-weak_auth 题目描述小宁写了一个登陆验证页面，随手就设了一个密码。解题思路随便输点东西，提示需要以用户admin来登入随便数个密码进去，它提示密码错误，按下f12，发现有个使用字典的提示此题需要使用到工具，burpsuite。我使用了kali虚拟机里自带的免费社区版。推荐大家直接去burpsuite官网跟着它的建议入门教程过一下，了解一下基础用法。输入admin点击登录，查看网络包，右键 copy to intruder，点击intruder-position，把

XCTF web新手 weak_auth

Activeclown的博客

04-26

508

1.题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。 2.题目分析：根据用户名、密码登录页面从而获取FLAG值 3.解题过程进入系统给的做题链接一个登陆界面，根据题目名字weak_auth，首先想到试一波弱密码试了常用的弱密码 username：admin password：123456 获取到了FLAG值 FLAG：cyberpeace{10e232ba626ba1368da...

攻防世界WEB题练习

ing_end的博客

10-30

1211

1.题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。法一按F12查看源代码。法二按ctrl+U查看源代码。 2.题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。首先介绍Robots协议：robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索...

攻防世界webshell

03-17

攻防世界是一个面向渗透测试和信息安全研究人员的在线攻防平台。Webshell是指一种通过Web应用程序漏洞上传到服务器上的恶意...在攻防世界中，可以使用webshell来模拟攻击者的行为，并在模拟的攻击场景中练习防御技能。