CTFHUB-WEB-WEB前置技能-HTTP协议-基础认证

最新推荐文章于 2024-06-06 13:54:24 发布
最新推荐文章于 2024-06-06 13:54:24 发布
阅读量496 收藏 3
点赞数 1
分类专栏: # CTFHUB 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbbbb___/article/details/132776353
版权

CTFHUB-WEB-WEB前置技能-HTTP协议-基础认证

文章目录

前言

解决了许久以来的困惑~

一、解题过程

·题目如下
在这里插入图片描述
·打开题目给出的链接,分别是一个密码列表和一个网页
在这里插入图片描述
在这里插入图片描述
·点击click后需要输入账号密码
在这里插入图片描述
·推测密码应该就在密码列表中,该题目需要弱口令爆破
·随便输入一个账号密码,打开BurpSuite开始抓包
在这里插入图片描述
发现是经过Base64编码过的,目前有了密码本但没有用户名的线索,将其发送到重发器重新发包,得到“Do You Know admin”的信息,推测用户名为admin
在这里插入图片描述
·把包发送到爆破模块,添加有效负载位置,这里注意不要选中Basic
在这里插入图片描述
·导入密码列表,设置前缀为admin:(一定要有冒号!因为之前解码的时候在用户名和密码之间就有冒号),设置编码为Base64
在这里插入图片描述
·攻击后,找到时长不一样的一项
在这里插入图片描述
·将其重发,或者把密码解码后在原先的网页登录,就可以看到flag了
(忘记截图)

二、过程详解

1.关于基本认证

HTTP基本认证,也就是Basic认证,是从HTTP/1. 1 就定义的认证方式,是Web服务器与通信客户端之间进行的认证方式。
BASIC认证步骤如下:
在这里插入图片描述
这张图很好的解释了为什么是Base64编码,以及为什么用户名和密码之间有冒号—因为是规定。

2.关于BurpSuite代理

在这道题抓包的时候我遇到了相当多次的代理开启与关闭,这让我感觉很费劲也很费解。BP抓包时需要开启代理,但开启代理后网页是打不开的,在打开与关闭之间横跳了很多次之后我终于找到了问题所在:在这里插入图片描述
于是在下载FoxyProxy插件后,我关闭了拦截请求,发现果然可以顺利打开网页了~~
在这里插入图片描述

3.BP爆破

这次是第一次使用BurpSuite的爆破模块,因为是很简单的爆破所以基本没有遇到太多的问题,只需要注意有效负载位置设定好、载荷选项和负载处理配置好就行了,更详细的使用方法看这篇 保姆级BurpSuite"爆破"模块使用指南

总结

搞清楚原理以后这道题还是比较好做的~~

乐多ledo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFHUB-WEB前置技能-HTTP协议-基础认证
K_ShenH的博客
06-09 1133
CTFHUB-WEB前置技能-HTTP协议-基础认证
微星为惠普代工的主板MS-7826前置USB3.0接线定义
01-29
微星为惠普代工的主板MS-7826,由于对前置USB3.0接口进行了特殊定义,导致与普通机箱的通用前置USB3.0接口无法匹配,使用U口时会出现异常。
ctfhub 基础认证
m0_63711447的博客
05-25 2663
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTFHub:web前置技能-HTTP协议-基础认证
最新发布
wdnmddbl的博客
06-06 858
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:Basic 认证原理Basic 认证HTTP协议支持的最简单形式的身份验证机制。它的原理基于“用户名:密码”的凭据,通过HTTP头部进行传输。具体来说,当用户尝试访问一个需要认证的资源时,服务器会返回一个401 Unauthorized响应,同时在响应头中包含WWW-Authenticate字段,提示客户端需要提供认证信息。用户提供的用户名和密码将按照以下格式组合:username:password。
CTFHub 基础认证
m0_52709104的博客
04-03 336
HTTP协议基本认证 大家看一下这篇文章会对HTTP基本认证有着更好的理解,也对下面的做题有帮助: https://blog.csdn.net/weixin_42461410/article/details/88420947 大家看一下这篇文章会对HTTP基本认证有着更好的理解: 打开题目: 下载附件会用到爆破,使用Burp抓包: 把Basic后面的数据点击添加 载入下载的字典 根据上面那篇文章:1.添加前缀作为用户名 admin:,2.进行Base64编码 3.记住把URL编码取消勾选 进行
CTFhub-基础认证
qq_43006864的博客
12-11 7753
一、首先,打开题目所给界面。这里他给了我们一个密码本。 这里提示我们。这儿是你的flag,还有一个可以点击的选项。 正常思路,我们会点击这个click交互键。 二、然后弹出来了一个登陆界面,这里老规矩,打开burpsuit,进行抓包。 这里跳过之前的抓包步骤,我们直接用burpsuit,到登陆界面。 然后进行一下测试,因为目前没有更多的思路,所以先随便输入用户名和密码,这里我输的是aa:aa。 然后进行抓包,发现了Authorization:后面有一串BASE64的编码 ..
CTFHUB-WEB基础认证
TA不懒,但还没有添加简介
11-20 3515
1
crc.rar_crc_单工停-等协议
09-24
CRC(Cyclic Redundancy...随着通信技术的发展,更高效的错误控制协议如ARQ(Automatic Repeat reQuest)和滑动窗口协议等被广泛应用,但CRC和单工停等协议作为基础概念,对于理解现代通信协议的设计原理仍然至关重要。
行业资料-交通装置-一种汽车前置制动灯.zip
08-31
行业资料-交通装置-一种汽车前置制动灯.zip
行业资料-交通装置-一种单车前置导航支架.zip
08-24
行业资料-交通装置-一种单车前置导航支架.zip
行业资料-交通装置-一种新型前置电瓶避震车架.zip
08-26
行业资料-交通装置-一种新型前置电瓶避震车架.zip
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4711
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
ctfhub HTTP协议 基础认证
qq_75120258的博客
10-15 284
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
ctfhub HTTP协议-基础认证
qq_44640313的博客
01-20 687
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
CTFHub-基础认证
Have_a_great_day的博客
09-06 780
CTFHub-基础认证之夺旗流程
CTFHub-Web基础认证
weixin_45871855的博客
10-29 858
CTFHub中被搁置好久的题: 原地址 (1)打开链接 点击click得到一个输入框 “Do u know admin?”可知这个题的用户名大概率是”admin“ (2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法 我们可以用burp抓包,进行密码爆破 在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得 admin:19s45 可知这串字符是这个题的用户名和密码; (3)将它进行爆破 将数据发送到 Intruder 进行
CTFHub-web前置技能-基础认证
RedArvin的博客
10-04 558
根据要求尝试输入{用户名:admin; 密码:123456},由‘’Do u know admin"猜测用户名为admin,信息错误无响应 根据输入前后抓包结果差异,考虑” Authorization: Basic YWRtaW46MTIzNDU2”为输入内容,观察得“YWRtaW46MTIzNDU2”为4的倍数,猜测为base64编码 使用题目文档中“10_million_password_list_top_100”文件对密码进行爆破: 1.选中clear清除原有标记;选中Basic后字符串,点击
CTFHUB-技能树-Web前置技能-基础认证、响应包源代码
Static______的博客
03-27 710
桌面应用程序也通过HTTP协议Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 例如:当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,这就是基础认证。启动题目后,开一把贪吃蛇游戏后,查看源代码即可,F12,在查看器中,也可以得到。再payload option中导入字典(点击载入),载入附件给的密码字典。
ctfhub-HTTP协议-基础认证
m0_62094846的博客
11-07 288
但抓不了包,但我看很多人wp都是可以的 只能在这个页面抓包了,再自己添加这一段 如果乱添加一通的话,会显示Douknowadmin,可能表示用户名是admin,字典上也只是给了密码,所以账号已知 Authorization:Basic是固定格式 后一段表示 用户名:密码 接下来爆破 下面的和之前的有些不一样,因为密码要编码成base64 添加前缀和编码方式 取消勾选,否则,=会被转为%3d (12条消息) Burp S...
ctfhub web技能树302跳转
07-28
- *1* *2* [2.CTFhub技能web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值