CTF学习第五站——CTF技能树Web前置技能HTTP协议之基础认证

已于 2023-10-02 01:14:27 修改
阅读量291 收藏 1
点赞数
文章标签: 学习
于 2023-10-02 01:13:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41174589/article/details/133473231
版权

题目:

由题意得我们需通过登录来获取Flag

但我们没有账号密码,因此我们需对此进行爆破。

操作如下:

1.利用Burp在如下界面抓包,其中用户名和密码为随意输入,在此我均采用123

注意:先打开代理,再点击click,然后在burp中代理界面点击放行,才能抓到这个界面的包如下

2.阅读后发现,第十行Authorization为授权,basic后应为用户名和密码的密文,我们利用Burp中的编码工具对其解码

尝试后发现编码方式为base 64 ,格式为用户名:密码

3.此时我们用题目所提供的附件(弱口令字典)和burp中的intruder对其进行爆破

首先将抓下来的东西发送到intruder,在之前发现的位置添加payload位置

之后在设置中导入附件,

在处理中添加前缀admin:和编码Base64

去掉URL编码字符

之后开始攻击

4.在结果中我们可以发现两种不同的状态码,

HTTP401错误代表用户没有访问权限,需要进行身份认证

200状态码代表请求成功。

5.我们对状态码为200的payload进行解码得到密码。(注:每次密码都有所不同)

6.登陆并得到flag后提交,别忘记关闭代理

_FaLan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTFCTFHub------web-HTTP协议-基础认证
从零开始的网安生活
07-22 668
** 基础认证 ** 1.复制链接到搜狐打开,注意下载附件 2.特征的发现 用户名:admin 随意试密码:123456和 密码:admin 分别捕获 观察发现字段前一半没有变化,后一段跟随密码变化,说明 admin和password分开加密 3.发现字段为16位 ①放入Decoder ②选择decode as ③选择Base64 解密 发现编码方式为Base 64 4.放入intruder进行爆破 ①clear(将默认的爆破点清除)②选中爆破内容 ③add(标记爆破内容) 5.Paylo
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
CTF入门指南(0基础)
weixin_33874713的博客
04-11 3030
ctf入门指南     如何入门?如何组队?     capture the flag 夺旗比赛     类型:   Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的     国内外著名...
CTFHub:web前置技能-HTTP协议-基础认证
最新发布
wdnmddbl的博客
06-06 785
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:Basic 认证原理Basic 认证HTTP协议支持的最简单形式的身份验证机制。它的原理基于“用户名:密码”的凭据,通过HTTP头部进行传输。具体来说,当用户尝试访问一个需要认证的资源时,服务器会返回一个401 Unauthorized响应,同时在响应头中包含WWW-Authenticate字段,提示客户端需要提供认证信息。用户提供的用户名和密码将按照以下格式组合:username:password。
CTFHUB--基础认证
追风少年亚索的博客
12-02 539
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
CTFhub-基础认证
qq_43006864的博客
12-11 7710
一、首先,打开题目所给界面。这里他给了我们一个密码本。 这里提示我们。这儿是你的flag,还有一个可以点击的选项。 正常思路,我们会点击这个click交互键。 二、然后弹出来了一个登陆界面,这里老规矩,打开burpsuit,进行抓包。 这里跳过之前的抓包步骤,我们直接用burpsuit,到登陆界面。 然后进行一下测试,因为目前没有更多的思路,所以先随便输入用户名和密码,这里我输的是aa:aa。 然后进行抓包,发现了Authorization:后面有一串BASE64的编码 ..
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4670
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
2021CTF工业信息安全技能大赛(常州站)
08-03
2021CTF工业信息安全技能大赛(常州站)
2-CTF解题技能之MISC基础
10-05
2-CTF解题技能之MISC基础
1-CTF解题技能之MISC基础
10-05
1-CTF解题技能之MISC基础
CTF技能树,为初学者的一个认识ctf
10-22
ctf的一个树状图而已
ctfhub 基础认证
m0_63711447的博客
05-25 2610
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTFHub-web(基础认证)
分享与记录
03-26 8921
发现题目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。 Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码 Base64解码得到开始尝试输入的账号和密码 将报文发送到Intrude...
CTFHub-技能树-HTTP协议-基础认证
pakho_C的博客
02-20 2052
打开靶场 点击click 需要登录,下载题目给的附件解压得到一个密码字典文件 显然需要我们爆破密码 先点击click抓包观察返回包有无提示信息 那么猜测用户名为admin 这里的思路可能有点问题,没有找到爆破的地方,经过几次输入之后,查看burp的流量检测,找到一个登录失败的页面查看 这里像是base64加密后的字符,解密查看 正是我刚才输入的用户名和密码 结合刚才的字典,明显要进行爆破,并且要将字典中的数据进行base64加密,这样才能符合它的规则,发送到burp的intruder模块进行爆.
CTFHub-Web基础认证
weixin_45871855的博客
10-29 853
CTFHub中被搁置好久的题: 原地址 (1)打开链接 点击click得到一个输入框 “Do u know admin?”可知这个题的用户名大概率是”admin“ (2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法 我们可以用burp抓包,进行密码爆破 在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得 admin:19s45 可知这串字符是这个题的用户名和密码; (3)将它进行爆破 将数据发送到 Intruder 进行
CTF学习记录007-HTTP基础认证
wupeng_ccab的博客
09-17 262
使用Burp的Intruder模块尝试进行密码破解,因为发送报文中只有密码一个变量参数需要破解,形式为 admin:password 在密码为空的情况下,admin:使用Basic64编码后是 YWRtaW46 ,在Intruder模块 的 位置处 修改Authorization值为 Authorization: Basic YWRtaW46§§。发送的有效载荷密码都是经Basic64编码后的值,找到长度不一样的那条数据,查看回应报文,得到flag。设置好以后,进行破解,结果如下图。
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
m0_59162248的博客
11-13 3844
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
2023最全CTF入门指南(建议收藏)
分享Python知识
06-16 4753
2023最全CTF入门指南(建议收藏)
ctfhub技能树web基础认证
03-13
CTFHub是一个CTF(Capture The Flag)竞赛平台,提供了丰富的技能树来帮助学习者提升Web基础认证的能力。下面是CTFHub技能树中关于Web基础认证的内容: 1. HTTP协议:了解HTTP协议的基本原理和常见的请求方法(GET、POST等),了解HTTP请求和响应的结构。 2. URL编码和解码:学习URL编码和解码的原理和常见的编码方式,如URL编码中的%20代表空格。 3. Cookies:了解Cookies的作用和原理,学习如何使用Cookies进行用户认证和状态管理。 4. Session管理:学习Session的概念和原理,了解如何使用Session进行用户认证和状态管理。 5. 基本认证(Basic Authentication):学习基本认证的原理和流程,了解如何使用用户名和密码进行认证。 6. 表单认证(Form-based Authentication):学习表单认证的原理和流程,了解如何使用表单提交用户名和密码进行认证。 7. Token认证学习Token认证的原理和流程,了解如何使用Token进行用户认证和状态管理。 8. CSRF攻击与防御:学习CSRF(Cross-Site Request Forgery)攻击的原理和常见的防御措施9. XSS攻击与防御:学习XSS(Cross-Site Scripting)攻击的原理和常见的防御措施10. SQL注入攻击与防御:学习SQL注入攻击的原理和常见的防御措施。 以上是CTFHub技能树中关于Web基础认证的内容,通过学习这些知识,你可以提升自己在Web安全领域的认证技能
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值