BugKu——Web——社工-初步收集

最新推荐文章于 2024-04-07 20:39:12 发布
最新推荐文章于 2024-04-07 20:39:12 发布
阅读量2k 收藏 8
点赞数 4
分类专栏: 信息安全 BugKu 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m_de_g/article/details/120024423
版权

BugKu——Web——社工-初步收集

一、解题思路

在这里插入图片描述
这里可以下载辅助,下载下来的是一个压缩包,不过会被当做病毒处理,设置成信任的即可,解压出来是个*.exe双击启动即可
在这里插入图片描述
随便输一个QQ和密码 回显都是哈哈,小别致你被骗了
这里的话,设计一个知识点就是遇到这种开挂的软件或者别的软件时,我们可以查看流量的走向,这里就需要使用工具——wireshark就行抓流量包进行分析

在这里插入图片描述
因为这里我使用的是WiFi,所以设置的是WLAN
在这里插入图片描述

设置好之后,开始启动,刚才的*.exe文件进行运行,就可以抓到流量

在这里插入图片描述
可以看到用户名,将其复制下来
在这里插入图片描述
base64解密,可以得到用户名为:bugkuku@163.com
在这里插入图片描述
base64解密,得到密码为:XSLROCPMNWWZQDZL
在这里插入图片描述
得到的用户名和密码肯定有用,那我们使用foxmail,登录
在这里插入图片描述
在邮箱里面找到了
一个类似于用户名和密码的东西

mara
20010206

我们扫描一下目录,使用dirSearch,命令如下:

python dirsearch.py -u "http://114.67.246.176:13905/" -e *

在这里插入图片描述
我们访问http://114.67.246.176:13905/admin/login.php

在这里插入图片描述
输入用户名和密码,登陆成功
用户名:mara
密 码:20010206

在这里插入图片描述
得到flag

flag{3eddaa86f01b590a07dc37df4b3aa6ba}

二、知识点

SMTP(Simple Mail Transfer Protocol)简单邮件传输协议,尽管邮件服务器可以用SMTP发送、接收邮件,但是邮件客户端只能使用SMTP发送邮件,接收邮件一般一般用IAMPPOP3.
邮件客户端使用TCP的25号端口与服务器通信。

山川绿水
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
bugku-writeup-web-社工-初步收集
dark的博客
06-18 686
题目:社工-ch
社会工程学字典生成器——社工字典生成器
12-26
亦思想社会工程学字典生成器,可放心使用。
Bugku-社工-初步收集
热门推荐
m0_46736332的博客
05-04 1万+
Bugku-社工-初步收集 虽说是初步,对于一个我这给ctf新手来说还是挺绕的 启动场景 本能反应,先扫路径。 扫路径的同时,先抓包,f12啥的看看(因为ctf经常出现这种玩法) 抓包,f12等没有任何发现 这是扫出了敏感路径 访问 下一步就是获取账号名和密码了,先一波抓包,f12试试运气,修改包绕过失败,爆破失败,看来是要老老实实找账号密码了 在提供的靶场中除了提供一个下载连接,什么都没有,下载下来看看 先想到的是逆向,无奈不会,登录一下试试 本能抓包,这里使用 wireshark ..
Bugku 社工——初步收集
qq_52696970的博客
07-18 905
社工——初步收集 启动场景后可以看到有下载辅助的选择,点击即可下载一个登录器 看了一下网页源码没发现就用burpsuit抓包也没有任何发现,然后就用御剑扫路径,发现一个登录网站,接下来就是找到这个网站的密码登录 先随便输入账号密码再对这个网站抓包,看看源代码,尝试暴力破解: 1.右击请求头文件,选择send to intruder: 2.进入intruder下target栏目,根据被攻击网站来设置host和port,但是因为跳出的是弹窗的原因抓包无法抓到密码和用户所以不考虑暴力破解。 换一种思路,打开刚才
BugKu-CTF(web篇)---社工-初步收集
Nailaoyyds的博客
03-07 1127
思路: 第一个思路就是先扫子目录,寻找出有效的敏感文件。 扫完子目录以后也没有什么有效信息,纯粹浪费时间, 发现有一个登陆框,各种手段爆破不出来,这时候就要换思路了 首页有下载链接,下载一下 是一个小插件 用wireshark抓包分析一下,在流量里边获取用户名和密码以及一个邮箱 密码后边两个等号==,一眼就知道是base64,去做解密 XSLROCPMNWWZQDZL 邮箱+用户+密码 提示很明显了 去试下邮箱登录 也不对。邮箱登录的方式,主流...
BugkuWeb社工-初步收集
Pai_Space
01-14 2776
bugkuku@163.com 试试登录之前扫描的页面,错误,回头看这个账号是邮箱 Bugku-社工-初步收集_m0_46736332的博客-CSDN博客_bugku社工初步收集 在邮箱知道信息后,猜账号为 Mara,密码为 20010206 不正确,账号改为 mara,登录成功 找到 flag ...
BUGKU-WEB 社工-初步收集
天泽岁月
02-15 1727
BUGKU-WEB 社工-初步收集,授权码变了....
2023-TG免费社工机器人大合集
07-20
1. **信息收集**:机器人可以自动搜索公开信息源,如社交媒体、论坛、博客等,搜集目标人物的个人信息,包括生日、爱好、工作经历等,这些信息可能成为密码重置问题的答案或社交工程攻击的切入点。 2. **电子邮件...
社交达人养成计划——社工小组计划书.doc
11-17
【社交达人养成计划——社工小组计划书】 本计划书旨在通过社工小组的形式,帮助大学生提升社交能力,解决他们在人际交往中遇到的问题。小组名称为“社交达人养成方案”,其理念源于对大学生社交困扰的观察,以及对...
LWB-社工V5.2.exe
08-02
简单易用的社工
社工18-2考勤表.xlsx
05-17
社工18-2考勤表.xlsx
bugku-web-社工-初步收集
m0_57954651的博客
11-16 912
得到了类似用户名和口令的base64加密代码 拿去解密。尝试登录 同时 打开wireshark进行流量截取。下载得到一个压缩包 解压打开 是一个小插件。再起始页面 存在一下下载点 可以操作。打开 wireshark 选择WLAN内容。smtp过滤 查看它的电子邮件流量数据。小时候特感兴趣的网站 目录扫描一下。社工又有杂项的存在 打开题目。搜寻邮件 拿到真实用户名和密码。得到一个管理员后台登录网站。进入 拿到flag。
bugku 2
2202_75317918的博客
02-14 800
购买辅助--下载辅助得到一个zip文件里面有exe不知道有啥用先用dirsearch扫一下找到/admin/login.php随便用了个弱口令登录失败后面看了要用wireshrak抓包找到邮箱和pass把pass解码本来以为后台直接登录但是登录失败就是要用邮箱登录找到账号和密码登录成了网站设置里有flag要两秒内计算值 根本不可能数值还一直在变re.search()表示从文本的第一个字符匹配到最后一个,其第一个参数为正则表达式,第二个参数是要匹配的文本。
BUGKU web 社工-初步收集
qq_75120258的博客
09-27 145
其实是杂项,勉强算社工吧。来自当年实战
ctf Bugku-社工-初步搜集
Oranges.的博客
10-18 690
bugku -社工-初步搜集 新手一枚,参考了网上信息完成 这里是网站主页,查看源码什么都没有发现,进行敏感路径扫描 这里使用的是dirsearch进行扫描,这里扫描到了登录, 打开网页出现登录界面,尝试admin登录,发现失败了,这是,原网站只提供了一个下载连接,下载下来,是一个exe文件。 打开后为下面界面: 我们输入账号密码进行测试,没有信息,进行抓包测试,我利用的是wireshark,发现了user,pass和一个邮箱 对pass进行解码 得到后我们在登录界面输入账号密码进行测试,显示
BugKuCTF_社工-初步收集
weixin_47443077的博客
06-01 1003
社工-初步收集 打开环境后,先bp抓包,检查也没有得到有用的信息。目录扫描试试找后台 找到该后台,发现需要用户名和密码。先别急,找找其他有用信息 在该网页主页发现点击辅助购买这个选项会出现这个界面,点击下载辅助会下载一个压缩包 安装后想试试用Wireshark抓包 不知道能不能得到些什么。。。 抓包开始后随便填写个QQ号和密码,连续点击“开始”,会出现“哈哈,小别致你被骗了”这个弹框,这。。。就可以暂停 仔细观察抓到的包,会发现疑似发包的邮箱和Base64加密的Pass 解码成功!!!但就是不太
bugku--社工-初步收集
qq_51802152的博客
12-13 1015
社工
bugku 社工-初步收集
plant1234的博客
06-09 1480
社工-初步收集: 首先根据题目启动环境: 根据题目提示下载刷钻软件: 于是就扫描了一下目录发现管理员登录入口: 需要密码,又想到刷钻软件,于是就用wireshark抓包得到: 得到用户名和密码,用base64解码得到: 发现这是163邮箱的授权登录密码,于是下载Foxmail登录, 发现有用信息: 得到管理员的名称,生日,邮箱,利用社会工程学字典生成字典: 在进行爆破得到: 得到密码,然后登录得到flag: ...
CTF之社工-初步收集
最新发布
qq_74263993的博客
04-07 279
说已经20 了,那么他应该是2001年出生的,“前两天”那生日无非就是2月6日,根据中国人的传统补全0,那么就是20010206的生日,姓名就是mara。看了别人的文章发现那个不是密码是授权码,所以用qq邮箱登录了(但是有些***把授权码改了所以后面写题的人是登录不进去的)下面是网上以前登录成功的截图。没发现什么有用的信息那我们就去wireshark看看数据包喽(谁叫题目叫社工收集)时间多的可以爆破一下(反正我爆不出来),接着我们下载那个压缩包看看。过滤一下smtp发现了编码的user和pass。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值