bugku-web-bp-wp

最新推荐文章于 2024-08-03 22:24:31 发布
最新推荐文章于 2024-08-03 22:24:31 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: ctf 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37659794/article/details/121236871
版权

ctf-bp

题目分析:
本题页面如下,需要填写密码登录成功可能会有flag

题目给的提示是top1000???z????
因此不难看出密码是top1000字典里的弱密码 且开头可能为z
在这里插入图片描述
可抓包试着看看。用火狐浏览器设置代理服务器127.0.0.1:8080,在页面中随便输入字符提交抓包:
在这里插入图片描述
点击该页面的action选项,选择send to intruder即暴力破解模块。选择position即暴力破解的位置,这里选择密码模块。

在这里插入图片描述
爆破之前我们要找到top1000的字典。以下为下载地址
https://gitee.com/XiuMulty/PasswordDic/blob/master/top1000.txt
在这里插入图片描述
这里可以点一键复制,新建txt文件,把复制的数据放进txt文件即可。
下载完成之后在payload模块里选择load加

最低0.47元/天 解锁文章
郑大钱儿
关注
专栏目录
bugku--杂项WP
Hydra的博客
11-18 2979
目录 2.这是一张单纯的图片  3.隐写 4.telnet 5.眼见非实(ISCCCTF) 6.啊哒 7.又一张图片,还单纯吗 8.猜  9.宽带信息泄露  10.隐写2 13.come_game 14.linux 15.隐写3 16. 做个游戏(08067CTF) 17.想蹭网先解开密码  18.Linux2 19.账号被盗了 21.爆照(08067CTF) ...
[bugku] web-bp
weixin_54957456的博客
11-23 4917
蛮简单的一道密码爆破题,就是有一点点小坑。 弱密码top1000应该就是要你去网上找top1000的字典,z?????应该就是z开头的一个密码(事实证明的确如此) 密码上传点抓包 设置payload后 导入下载好的top1000,开始爆破 发现所有返回长度都一样,分析返回包,发现所有错误返回包都有如图下字段,截取以下字段,在option 中的grep-match中加入。 重新爆破,不观察返回长度而是截取字段那一项 发现成功密码。 ...
【CTF WEB基础】BP - Bugku CTF
最新发布
yu_fly_fish的博客
08-03 317
一起变强!
Bugku webbp
DdddddXxxxx的博客
07-16 925
题目提示密码为“zxc???”,猜测密码为zxc开头的6位字符串。 随意输入密码后,对返回界面进行源代码审计。发现脚本如下 <script> var r = {code: 'bugku10000'} if(r.code == 'bugku10000'){ console.log('e'); document.getElementById('d').innerHTML = "Wrong account or password!"; }else{ console.log('0')
bugku bp
weixin_63289925的博客
01-08 2340
打开题目链接,看到提示,说明是个爆破题,而且需要top1000的弱密码字典 看到题目发现账号已经有了,说明只需要爆破密码即可,随便输入一个密码,然后进行爆破,跟之前的步骤没有什么区别,唯一就是clear,之后就需要add 密码就行了,一个变量,所以选择sniper 来到Payload,去网上搜索一个top1000的弱密码字典.txt 然后添加字典 然后Start attack,就可以看到所有密码的 Length都是一样的,这是为什么呢 Send to repeater就看看究竟 ...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4193
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
BugKu_WEB_(1)
young的博客
07-21 1024
BugKu平台练习wp
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2513
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
Bugku CTF Web 解题报告(一)
qq_51090016的博客
01-24 1025
Web11-20题 刚接触ctf的菜鸡,突发奇想写博客,想记录一下自己的写题过程。至于前面十题。。。我舍不得bugku金币再启动一次场景,只好从11题开始。 Web 11 网站被黑了 我擦,网站被黑了??我一菜鸡哪会解这么高大上的题。打开题目一开,还搞得挺炫酷 这咋办?鼠标右键点不了,F12一看也没啥。我这也太菜了,只好看看大佬怎么做,原来是要用御剑,只好照葫芦画瓢 果然有了,访问下面这个看看 盲猜123456。。果然不对。只好想到用bp爆破。可我还不会爆破啊。。只好搜一下教程现学现用。 跟着大佬.
top1000.txt
08-14
2020年的整理的有需要的 可以使用的
常用密码top1000
06-19
常见的用户名密码1000条!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
bugku-bp
2202_75317918的博客
03-02 395
bugku bp
Bugku bp
weixin_53955759的博客
09-12 1017
先看题目 打开环境 发现已经知道用户名,那么只需要爆破密码,而且题目还提示了弱密码top1000,搜索了一下top1000,的确是一个字典, 下载备用,随便输一个密码,设置好代理,打开拦截,点击发送 成功抓到 将需要爆破的密码设置变量 再在Payload中添加我们下好的top1000字典,开始爆破 发现所有的返回长度都是一样的, 人麻了,研究了一会还是看了wp 发现是返回的响应里有不同的东西 通过Burpsuite的 (Grep – Matc.
bugku--bp
qq_51802152的博客
12-13 457
bugku--bp
bugku bp (writeup)
m0_55383382的博客
12-11 1194
flag是:flag{b9a7f1f648d782370e736c63c063d71a}把刚才下载的top1000.txt导入进去。这边我发现长度都一样,找不到正确密码。我发现zxc123这一项没有打勾✔。提示说是弱密码top1000。选择 发送给Intruder。所以我怀疑这个是密码。
bugku-bp题解
qq_51775369的博客
10-14 2346
根据题目提示,这道题应该是一个暴力破解的题目。并且使用的字典是top1000的字典。根据提示z????? 猜测应该是一个以z开头的6位密码 top1000字典下载链接:top1000.txt · 朽木/PasswordDic - Gitee.com 打开网址,已知用户名是admin求密码 使用Burpsuite进行抓包 ...
MATLAB实现PSO-BP算法进行路径优化
"该资源提供了一种结合粒子群优化(PSO)与反向传播(BP)神经网络的PSO-BP算法的MATLAB源代码,适用于路径优化问题,具有快速收敛特性和易于参数调整的优势。通过加载数据,对输入和输出进行预处理,然后建立神经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值