CTFSHOW web入门——web21

最新推荐文章于 2024-02-06 22:10:54 发布
最新推荐文章于 2024-02-06 22:10:54 发布
阅读量275 收藏 1
点赞数
文章标签: 学习方法 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74093152/article/details/129142426
版权

输入用户名和密码

抓包

最后一行有一串base64编码,对其进行解码,是刚输入的用户名和密码。

把包放到intruder进行爆破

在payload板块,payload type选择custom iterator,position 1填admin,position 2填‘ :’,position 3将题目给的字典导入。

在payload processing选择base64-encode

爆破,根据长度排序发现有与其他长度不同的状态码,查看其响应头,获得flag。

韦韦韦www
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
CTFshowweb21
qq_51324662的博客
05-11 592
关于CTFshow的web21题 这道题普遍的写法是用BURP suite抓包工具写的: 但是,身为一个代学生怎么会满足于抓包工具呢,于是,神奇的zzuctfer想到了自己可以用requests模块写一个脚本来处理这个暴力破解的方法: 1.首先用神奇的抓包工具抓一下包 #第一次笔者以为这个是用POST请求提交的表单,但是,通过反复的抓包,我发现了一个变量 Authorization这一栏,这个神奇的请求头的内容会变,并且大致观察一下发现它是base64编码的这时候,解码一下发现了这个结果: admin:
CTFshow——web入门——爆破web21-web28 详细Writeup
Leaf_initial的博客
08-01 265
解释一下为什么每一次的mt_rand()+mt_rand()不是第一次的随机数相加,因为生成的随机数可以说是一个线性变换(实际上非常复杂),每一次是确定的但是并不一样,所以不能 进行第一次*2就得到mt_rand()+mt_rand(),所以说只要我们得到种子就可以在本地进行获得自己想要的值解题。的值,该值经过md5加密后要他的第1,14,17位的值都相等,并且第1,14,17,31的值是整数并且第1,14,17位的值相加之后除以第1位的值等于第31位的值。
CTFshow-web入门爆破(21-28)
i_kei的博客
12-13 6694
web21 用burp抓包 输入的账户名和密码被base64加密了,用burp自带解密发现账户名和密码之间用冒号隔开了,接下来构造payload 分别选中账户名和密码,我这里选择把冒号放到了账户名那里,放到密码也可以,只是一会儿加前缀和后缀的区别 payload1(账户名):先导入题目提供的字典,然后加后缀冒号,再用base64加密 payload2(密码):导入提供的字典,base64加密 payload1和payload2都需要取消勾选 构造完之后,发现需要爆破的条目数太大了,经过群里大佬
ctfshow爆破web21~28
qq_55233040的博客
07-23 2254
知识点总结 web21 基础爆破工具的使用 web22 域名爆破 web23 条件爆破 web24 随机数种子爆破 web25 伪随机数爆破 web26 数据库连接信息爆破 web27 信息收集+日期爆破 web28 目录爆破 目录web21web22web23web24web25web26web27web28 web21 题目提示:爆破什么的,都是基操 本题自带字典,因此答案肯定在此字典中 进入网站,是一个登陆界面 用户名输入admin,密码随便填个123a
《CTFshow-Web入门》03. Web 21~30
学习学习学习......
11-25 1325
用户名密码爆破、域名爆破、PHP 代码分析、PHP 伪随机数及其逆推、burpsuite 暴力破解、eval() 利用与正则绕过。
ctfshow web入门 爆破web21题详解
m0_73860001的博客
07-09 386
5.点击上方的开始攻击,之后会弹出一个框,查看状态码为200的即爆破成功(之前我一直以为这个状态码是由小到大进行排序的,在这里卡了很多次,所以大家一定要查看完整】,你可以复制这个字符串进行base64解码之后登录,也可以点击【Response】查看flag。复制蓝色所框选的部分,点击上方【Decoder】菜单栏,将该字符串复制到框中,接着右侧点击【编码】-->【base64】可得下方该字符串解码所示结果,当然也可以去base64在线解密上解码该字符串。选项,可以发现上方【Intruder】变红,点击它。
CTF-show WEB入门--web21
最新发布
m0_73912575的博客
02-06 621
CTF-show WEB入门--web21
ctfshow-web入门——爆破(web21-web28)
dzqxwzoe的博客
02-02 1024
[在这里插入图片描述](https://img-[在这里插入图片描述](https://img-payload type选Custom iterrator,position1填admin,position2填:,position3导入字典,按照上面步骤直接爆破。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow萌新区web1~21
qq_46041723的博客
12-10 5133
萌新前言萌新web1web2web3web4web5web6web7web8web9web10web11web12web 13用到的知识web14web15web16web17web18web19web20web21 前言 经常做ctfshow上面的题目,发现这个是真心的不错,就是除了做不出来也没什么了,害! 萌新 web1 没啥好说的,看到源码提示id不能大于999,还要等于1000,直接取反,payload?id=~~1000,没过滤,直接得到flag web2 细节同上 web3 同上 web4 同上
ctfshow web入门(一) 已完结
qq_45746876的博客
02-21 7935
ctfshow web入门前言一、信息收集 web2二、信息收集 web3三、信息收集 web4四、信息收集 web5 前言 由于太菜了,所以最近要多做点题 一、信息收集 web2 题目: 题目提示js前台拦截,可以想到用Burp Suite抓包,然后重发即可得到flag: 二、信息收集 web3 题目: 题目提示抓个包看看: 然后抓包得到flag: 三、信息收集 web4 题目: 题目提示:robots.txt,直接访问/robots.txt: 在访问/flagishere.txt: 四
CTFshow web1
羽的博客
02-26 5946
题目地址:https://ctf.show 扫描后台拿到源码(www.zip)。打开login.php能禁的基本都禁干净了,登录页面貌似没有注入的可能。reg.php也是如此,所以注册页面也没可能了。剩下最后一个就是显示信息的页面了。这里可以看到在数据库中是把所有的字段(包括密码)都给查出来了,但是没有显示密码的地方。 我们可以利用?order=pwd来判断注册的密码与flag用户密码的大小(...
CTFSHOW系列-web21(爆破-tomcat Authorization认证爆破)
siu~
12-04 409
CTFSHOW系列解题思路
ctfshow web入门爆破web21-28wp
kinakouni的博客
02-21 423
入门几个月的萌新CTFer,记录下自己做题的wp。
ctfshow-web入门爆破
08-30
- *2* *3* [CTFshow web入门——爆破](https://blog.csdn.net/qq_49480008/article/details/112991503)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值