CTFSHOW web入门 爆破 21-28

最新推荐文章于 2024-05-18 17:13:27 发布
最新推荐文章于 2024-05-18 17:13:27 发布
阅读量2.7k 收藏 1
点赞数 1
分类专栏: CTFSHOW web入门 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43162345/article/details/121870634
版权

CTFSHOW 爆破 [21-28]

Web21

在这里插入图片描述

  • 可以看到 SELECTED TEXT -> DECODED FROM 用Base64解码

    账号密码的格式是 [username]:[password]

    所以我们可以用 intruder模块里面的自定义payload

在这里插入图片描述

  • position 1: admin

    position 2: ( : ) 是冒号,不需要用括号哈(方便看清楚)

    position 3: 可以用题目的字典(其实字典才是最重要)

    payload processing 使用Base64-encode

在这里插入图片描述

取消勾选
在这里插入图片描述

  • 记得resource pool 线程调低一点 不然一直报503(服务器也不容易 经常被爆破资源)

在这里插入图片描述
爆出来了
在这里插入图片描述
总结:

  1. 用Burpsuite 截断流量 分析账号与密码发送的形势
  2. 用Base64解密 查看payload的结构
  3. 用intruder模块 自定义payload
  4. 要养成储存字典的习惯 写一题存一个字典 以后可能会有用

Web22

import requests
import io
import threading

from requests.sessions import session

url1 = "https://{}.ctf.show/index.php"
dict = []

# print(requests.get(url1).status_code)
def intruder(payload):
    url1 = url1.format(payload)
    res = requests.get(url1)
    if res.status_code == 200:
        print(url1)

if __name__ == '__main__':
    with open('dict.txt','r') as f:
        lines = f.readlines
        for line in lines:
            dict.append(line.strip('\n'))
    f.close()

    threads = []
    for payload in dict
最低0.47元/天 解锁文章
Leviathan_Raiden
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web入门(21-28爆破
2202_75317918的博客
09-23 507
ctfshow web入门(21-28爆破
ctfshow web入门爆破web21-28wp
kinakouni的博客
02-21 447
入门几个月的萌新CTFer,记录下自己做题的wp。
ctfshow-web入门——爆破web21-web28)
最新发布
baimao__Ch的博客
05-18 743
[在这里插入图片描述](https://img-[在这里插入图片描述](https://img-payload type选Custom iterrator,position1填admin,position2填:,position3导入字典,按照上面步骤直接爆破从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
web入门——ctfshow(21-28)爆破
weixin_73668856的博客
12-03 470
web 入门
CTFshow——web入门——爆破web21-web28 详细Writeup
Leaf_initial的博客
08-01 282
解释一下为什么每一次的mt_rand()+mt_rand()不是第一次的随机数相加,因为生成的随机数可以说是一个线性变换(实际上非常复杂),每一次是确定的但是并不一样,所以不能 进行第一次*2就得到mt_rand()+mt_rand(),所以说只要我们得到种子就可以在本地进行获得自己想要的值解题。的值,该值经过md5加密后要他的第1,14,17位的值都相等,并且第1,14,17,31的值是整数并且第1,14,17位的值相加之后除以第1位的值等于第31位的值。
ctfshow-web入门(21-28)
1ance's blog
06-01 366
爆破web21web22web23web24web25web26web27web28 web21 web22 web23 web24 web25 源码: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 13:56:57 # @Last Modified by: h1xa # @Last Modified time: 2020-09-03 15:47:33 # @email: h1xa@ctfer.com
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
密码爆破---绕过验证码进行登录爆破
04-14
密码爆破---绕过验证码进行登录爆破 密码爆破是指攻击者使用自动化工具或手动方式穷举可能的密码,尝试登录目标系统或应用程序。验证码是一种常见的防御机制,旨在阻止密码爆破攻击。本文将详细介绍绕过验证码进行...
CTFSHOW系列-web28(爆破-目录爆破爆破)
siu~
12-06 510
CTFSHOW系列解题思路
CTFshow-Web入门-Web21-28 (爆破完结篇)
m0_61155226的博客
03-21 470
CTFshow-Web入门21-28题
CTFshow(web21-web28)
qing_chuan_的博客
05-26 294
提示:从 PHP 4.2.0 开始,随机数生成器自动播种,因此没有必要使用该函数 因此不需要播种,并且如果设置了 seed参数 生成的随机数就是伪随机数,意思就是每次生成的随机数 是一样的。自定义迭代器可以自定义拼接方式,position的位置即为我们的拼接方式,根据上述base64解码的tomcat密码的格式:用户名:密码 ----->则position的位数为3。Payload set ---->custom iterator(自定义迭代器)------>position 3------>输入字典。
ctfshow学习记录-web入门爆破21-28)
龟速更新的九某人
06-01 444
ctfshow学习记录-web入门web21-28)
python 身份证号校验码计算方法
weixin_47411110的博客
04-02 2104
# 身份证验证规则: # 第十八位数字(校验码)的计算方法为: # 1.将前面的身份证号码17位数分别乘以不同的系数。从第一位到第十七位的系数分别为:7 9 10 5 8 4 2 1 6 3 7 9 10 5 8 4 2 # 2.将这17位数字和系数相乘的结果相加与11进行相除。 # 3.余数0 1 2 3 4 5 6 7 8 9 10这11个数字,其分别对应的最后一位身份证的号码为1 0 X 9 8 7 6 5 4 3 2。 # 4.例如 余数为 0 , 则身份证最后一位就是1 # 余数为 2
CTFSHOW爆破 WEB21~WEB28
y4615184的博客
05-13 469
温故知新,复盘当尝试不同方法,弄懂原理! WEB 21 直接一个登录界面,开BP,先输入admin/123456 ,抓包 发现GET包中的Authorization(授权)中有一段密文 ,像base64编码,试下解密 发现这里就是提交的账号密码,中间有个:,知道了格式和提交位置,开始爆破 先改为明文形式加变量符,选择cluster bomb模式,载入提供的字典,添加两条规则(末尾固定增加:,base64编码),取消payload encoding的√(避免特殊符号被自动转义).
CTFSHOW web入门——web21
m0_74093152的博客
02-21 288
CTFSHOWweb入门——web21
ctfshow web入门 爆破
08-24
Web入门的CTF比赛中,爆破通常用于暴力破解登录页面或者访问受保护的资源。 要进行Web爆破,你需要使用一个工具或编写自己的脚本来自动化这个过程。一种常见的工具是Burp Suite,它提供了强大的代理和爆破功能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值