bugku web 社工-初步收集

最新推荐文章于 2024-07-18 16:53:02 发布
最新推荐文章于 2024-07-18 16:53:02 发布
阅读量658 收藏 3
点赞数 29
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l181954187/article/details/137468312
版权
社工-初步收集

老样子首先F12看源码,抓包也都没有什么发现,于是我打算用dirsarch扫一下路径。

python dirsearch.py -u http://114.67.175.224:19184/ -e*

访问一下

一个登录页面,我想着抓包爆破一下,然后修改包绕过失败了,不能爆破,舍友得老老实实找账号密码.

回到之前的网站,发现除了下载,其他什么有用的都没有,下载下来看看,

运行填写一下,

用wireshark抓包,东西很多,仔细找找看有没有账号密码,终于找到了一个邮箱的账号和密码

一看密码就是要解码的,用Base64解码得到密码XSLROCPMNWWZQDZL

感觉账号有点长,应该会错误,

果然错误了

那就登录邮箱

也不对,然后上网查了一下,发现邮箱登录的方式,主流是两种,一种是密码登录,一种是授权码登录,官网提供的邮箱登录一般是账号+密码登录,第三方邮件系统登录的一般都是客户端+授权码登录。

所以解码出来的肯定是授权码

然后成功登录,直接找

注意!千万不要被邮箱里的内容所迷惑,类似“flag被删了,辱骂****”各种的信息,我当时也被唬住了,耽误了许久。翻了好长时间找到了一定是有用的信息

.

看到一些个人信息

这个应该就是账号密码,爆破,用社工爆破密码生成器,他说他20 了,那么他应该是2001年出生的,“前两天”那生日就是2月6日,然后一般格式补全0,那么就是20010206的生日,姓名就是mara,

再尝试了很多次之后终于爆破成功

登录成功

成功找到flag

leoleo!
关注
  • 29
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
LWB-V5.2.exe
08-02
简单易用的
18-2考勤表.xlsx
05-17
18-2考勤表.xlsx
BUGKU-WEB -初步收集
天泽岁月
02-15 1714
BUGKU-WEB -初步收集,授权码变了....
BugKu-进阶收集
m0_52880296的博客
03-11 1518
学习目标:MISC的简单学习 BugKu-进阶收集学习目标:MISC的简单学习1.题目一、提  示: flag{小美小区名字拼音}二、描  述: 小明当年为了追求小美想尽办法获得小美的地址。直到有一天小美发了一条说说,小明觉得希望来了。1.下载其附件2.开始解题总结 今天没有学习web,在BugKu上刷了MISC的一些题,发现非常有意思,来介绍一下 1.题目 一、提  示: flag{小美小区名字拼音} 二、描  述: 小明当年为了追求小美想尽办法获得小美的地址。直到有一天小美发了一条说说,小明觉得希望
Bugku--初步收集
热门推荐
m0_46736332的博客
05-04 1万+
Bugku--初步收集 虽说是初步,对于一个我这给ctf新手来说还是挺绕的 启动场景 本能反应,先扫路径。 扫路径的同时,先抓包,f12啥的看看(因为ctf经常出现这种玩法) 抓包,f12等没有任何发现 这是扫出了敏感路径 访问 下一步就是获取账号名和密码了,先一波抓包,f12试试运气,修改包绕过失败,爆破失败,看来是要老老实实找账号密码了 在提供的靶场中除了提供一个下载连接,什么都没有,下载下来看看 先想到的是逆向,无奈不会,登录一下试试 本能抓包,这里使用 wireshark ..
BugKu-web--初步收集
jiuyongpinyin的博客
05-29 740
-初步收集 这道题我这种菜鸡是不可能会的,直接附上大佬的链接 https://blog.csdn.net/m0_46736332/article/details/116399471 首先先把辅助具的客户端下载下来 随便尝试一个用户面,发现没什么用,参考大神得链接,发现需要抓包 base64解码把pass解出来 然后得到一个授权码,授权码并不是密码,通过qq邮箱可以登录,登录进去后,可以看到这样一封邮件 通过邮件内容推断,mara的生日是2001年2月6日 通过dirsearch扫描获得网
Bugku 简单个人信息收集
qq_26961571的博客
11-12 2271
​这道题吧,稍微有那么一点...小九九 下载压缩包之后, 有密码的这种压缩包都见怪不怪了,第一反应是伪加密。 这次用了一个新快捷方式,不需要修改00 为 09 这么麻烦了。 那就是... 右键点击这个txt文件,这个txt后面加了一个*号,非常奇怪是不是,所以直接修复这个压缩包。 ZIP伪加密哈哈哈,然后就可以打开txt。 这据说需要库,可是违dhsi法dh啊!搜索别人的结果。 flag{15206164164} 欢迎关注我的微...
BUGKU web -初步收集
qq_75120258的博客
09-27 145
其实是杂项,勉强算吧。来自当年实战
bugku-web--初步收集
m0_57954651的博客
11-16 910
得到了类似用户名和口令的base64加密代码 拿去解密。尝试登录 同时 打开wireshark进行流量截取。下载得到一个压缩包 解压打开 是一个小插件。再起始页面 存在一下下载点 可以操作。打开 wireshark 选择WLAN内容。smtp过滤 查看它的电子邮件流量数据。小时候特感兴趣的网站 目录扫描一下。又有杂项的存在 打开题目。搜寻邮件 拿到真实用户名和密码。得到一个管理员后台登录网站。进入 拿到flag。
ctf Bugku--初步搜集
Oranges.的博客
10-18 690
bugku --初步搜集 新手一枚,参考了网上信息完成 这里是网站主页,查看源码什么都没有发现,进行敏感路径扫描 这里使用的是dirsearch进行扫描,这里扫描到了登录, 打开网页出现登录界面,尝试admin登录,发现失败了,这是,原网站只提供了一个下载连接,下载下来,是一个exe文件。 打开后为下面界面: 我们输入账号密码进行测试,没有信息,进行抓包测试,我利用的是wireshark,发现了user,pass和一个邮箱 对pass进行解码 得到后我们在登录界面输入账号密码进行测试,显示
2023-TG免费机器人大合集
07-20
1. **信息收集**:机器人可以自动搜索公开信息源,如交媒体、论坛、博客等,搜集目标人物的个人信息,包括生日、爱好、作经历等,这些信息可能成为密码重置问题的答案或程攻击的切入点。 2. **电子邮件...
2023-飞机免费机器人最新合集
04-23
2023-飞机免费机器人最新合集
Xsgk:Xsgk -
05-04
Flask 是一个微型的 Python Web 开发框架,以其灵活性和简洁性而闻名。它不包含数据库、模板引擎或任何其他复杂的组件,而是通过插件和扩展来增加功能。这种设计使得开发者可以根据项目需求选择相应的扩展,保持项目...
捷配总结的SMT厂安全防静电规则
tyymm的博客
07-17 393
SMT厂须熟记的安全防静电规则! 安全对于我们非常重要,特别是我们这种SMT加厂,通常我们所讲的安全是指人身安全。 但这里我们须树立一个较为全面的安全常识就是在强调人身安全的同时亦必须注意设备、产品的安全。 电气: 怎样预防人身触电事故? 1、发现有损坏的开关,电线等电气安全隐患,赶快向有关人员报告处理。2、不懂电气技术的人对电气设备不要乱装、乱拆。3、不要用湿手、湿脚动用电气设备(如: 按开关、按钮)。4、清扫卫生时,不要用湿抹布擦电线、开关按钮,一定要搞卫生,请先断开电
AI安全系列——[第五空间 2022]AI(持续更新)
2201_76139143的博客
07-15 1011
最近很长时间没有更新,其实一直在学习AI安全,我原以为学完深度学习之后再学AI安全会更加简单些,但是事实证明理论转实践还是挺困难的,但是请你一定要坚持下去,因为“不是所有的坚持都有结果,但总有一些坚持,能从冰封的土地里,培育出十万朵怒放的蔷薇”题目来源:NSSCTF题目描述:噪声在大数据场景下有着重要的地位。程师们苦于被噪声污染的数据,同时也使用噪声保护着隐私数据。这个挑战分为两个部分。挑战1:从噪声中恢复隐私向量有A,B两个实体。其中B是普通实体,A则是恶意攻击者。
OWASP 移动应用 2024 十大安全风险
shendong70的博客
07-14 1237
随着智能手机的快速发展,移动应用已经成为我们日常生活关系最密切的软件应用。开放全球应用程序安全项目(OWASP)基金会,致力于提高软件的安全性。自 2014、2016年发布了移动应用的十大风险后,今年再次发布2024版。这对移动应用软件的检查具有着重要的指导作用。
浅谈安数云智能安全运营管理平台:DCS-SOAR
2401_82472120的博客
07-15 799
安数云DCS-SOAR平台致力于解决用户云上资产的安全运营问题,面对用户防护设备繁杂臃肿、安全事件难以及时响应、运营成本逐年上升的困境,安数云DCS-SOAR平台以安全大脑驱动为核心,建立运营体系,通过OneStep框架实现第三方安全产品的“无门槛接入、低门槛纳管”;威胁和告警数量不断增长,资源又不足以应对所有问题,在日常运营中,分析人员需要快速决定哪些告警需要处理,哪些可以忽略,但由于超负荷作,很可能错过真正的威胁,在应对威胁和恶意攻击时出现误判,最终使网络及数据产生安全泄露,造成无可挽回的损失。
高性能、安全、低碳绿色的趋势下,锐捷网络发布三擎云办公解决方案 3.0
最新发布
CSDN云计算
07-18 583
去确保性能体验流畅。与上一代产品相比,三擎云办公 3.0 新增 130+功能特性,不仅充分对标了主流云桌面平台的核心功能,如热补丁升级与第三方存储和计算平台支持,还通过一系列创新技术,如智能透明加密技术,独享应用虚拟化技术,增强协议技术,智能 IO 调度技术等,在体验、安全、降本、增效等多个维度上展现出差异化优势。近日,锐捷网络重磅发布了三擎云办公解决方案 3.0,针对新趋势下挑战,一口气推出了 130 多项功能特性,希望为用户构建一个集安全、高效、体验于一身,实现成本优化的云桌面办公系统环境。
飞睿智能UWB Tag蓝牙防丢器标签,宠物安全新升级,5cm精准定位测距不迷路
m0_59195407的博客
07-16 605
这意味着,无论你的宠物是在家中的某个角落捉迷藏,还是在公园的人海中穿梭,飞睿智能UWB Tag都能迅速锁定其位置,让你轻松找到它。想象一下,当晨光初破晓,你带着心爱的宠物踏上晨跑的旅程,手中轻轻握着的,不仅是牵引绳,更是对宠物安全的满满承诺。想象一下,即使在外忙碌,只需轻点手机,就能掌握宠物的一切动态,这种安心与便利,是任何传统防丢手段都无法比拟的。飞睿智能UWB Tag蓝牙防丢器,以其精准的定位、智能的功能、耐用的品质,成为了守护宠物安全的得力助手。用户见证:口碑的力量,爱的传递。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

leoleo!

您的慷慨将激励我创作更多内容

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值