技能树-Web前置技能-基础认证、响应包源代码
基础认证
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 例如:当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,这就是基础认证
基础认证学习参考:
秒懂HTTP基本认证(Basic Authentication)
开启题目,给的附件打开是一串密码
猜测此题为暴力破解,抓包
Authentication存在 basic编码。字符串格式xxxxxxxxx==大概率为Base64编码,本网页提交会将用户名密码经过base64加密后提交,且格式为:admin:password(将basic编码解码后发现的)
放入重放器中,可以发现
Basic realm="Do u know admin ?"
猜测登录名为admin
包放入测试器中,进行暴力破解
再payload option中导入字典(点击载入),载入附件给的密码字典
payload processing中增加爆破规则:
添加前缀,admin:
添加Base64编码
取消URL编码
开始爆破即可,查看状态或长度与其他不同的,得到flag
响应包源代码
响应包源码查看可以通过请求后浏览器端返回的服务器响应包源码进行查看,方法打开开发者工具(F12)>源代码>查看源码
启动题目后,开一把贪吃蛇游戏后,查看源代码即可,F12,在查看器中,也可以得到