CTFHub -技能树(信息泄露,密码口令)

最新推荐文章于 2024-04-02 22:03:18 发布
最新推荐文章于 2024-04-02 22:03:18 发布
阅读量445 收藏
点赞数
分类专栏: CTF学习 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45653588/article/details/107540287
版权

0X00 目录遍历

这题进入后是这样的文件目录形式,结合题目,尝试查看文件夹内内容,或者是可以选择使用扫描器寻找文件。
在这里插入图片描述

找到flag的txt文件,找到flag
在这里插入图片描述

0X01 PHPINFO

这题点击进入PHPINFO
在这里插入图片描述

尝试CTRL+F搜索flag,直接找到了flag。
在这里插入图片描述

0X02 备份文件下载-网站源码

进去后提示我们网站备份源码可能的文件名和后缀,这里可以使用它提供的名字进行组合爆破,也可以使用工具进行扫描。
在这里插入图片描述

在这我使用了御剑进行扫描,发现可疑目标,尝试访问www.zip,将文件下载下来
在这里插入图片描述

打开发现带有flag字样的txt文件,打开发现没有flag,得知网站上应该有这个文件。
在这里插入图片描述
在这里插入图片描述

在网站上访问文件,得到flag。
在这里插入图片描述

0X03 备份文件下载-bak文件

打开页面提示flag在index.php源码里面
在这里插入图片描述

在这使用dirsearch对网站进行扫描python dirsearch.py -u http://challenge-4fd439417100dbf5.sandbox.ctfhub.com:10080/ -e *
在这里插入图片描述

发现bak文件index.php.bak,访问这个文件,下载下来,打开发现flag。
在这里插入图片描述

0X04 密码口令-弱口令

打开发现管理后台的登录界面,先尝试输入admin和admin,登录失败
在这里插入图片描述

使用burp抓包进行爆破,网站为管理后台,猜测用户名为admin,对密码进行字典爆破
在这里插入图片描述

得到正确的密码password,登录得到flag
在这里插入图片描述

0X05 密码口令-弱口令

进去后发现是亿邮网关的登录界面,结合标题猜测是默认口令登录
在这里插入图片描述

在网上找了亿邮网关的默认口令,克参考https://www.cnblogs.com/Oran9e/p/8059360.html
在这里插入图片描述

尝试登录得到flag。
在这里插入图片描述

So4ms
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHUB刷题 密码口令/弱口令
null1024的博客
09-05 3831
一、题目描述与分析 由题意,何为弱口令,指的是通常认为容易被别人(他们有可能对你很了解)猜测到或破解工具的口令均为弱口令。这里我们可以尝试暴力破解 二、解题过程 1.登入题目页面,如图 猜测需要提供2.用户名和密码,才能拿到flag,猜测用户名为admin 2.利用Burpsuite抓包 注意到 name=admin&password=123456&referer= 下面进行暴力破解 三.暴力破解 右键-->Send to...
CTFHub 密码口令
qq_58879949的博客
09-06 595
用burpsuite拦截,并用intruder进行爆破发现长度不一致的密码组合输入后得到flag。
密码口令ctfhub
最新发布
2401_82985722的博客
04-02 1082
使用一组字典,如果你设置了$用户名$、$密码$、$验证码$,那么狙击手模式只会用户名,密码和验证码。使用一组字典,如果你设置了$用户名$、$密码$、$验证码$,那么攻城锤模式会攻击。Order payload$用户名$ payload$密码$ payload$验证码$允许使用多组字典,如果你设置了$用户名$、$密码$、$验证码$,那么草叉模式会在这些地方。允许使用多组字典,如果你设置了$用户名$、$密码$、$验证码$,那么集束炸弹模式会进行笛卡尔积。。
CTFHub--口令
qq_46927150的博客
04-25 9488
口令 题目链接https://www.ctfhub.com/#/skilltree 通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。 点开题目场景,会看到一个管理后台的登录页面。根据“管理后台”几个字,我们可以猜测用户名为admin 接着随便输入一个密码,打开bp,抓包 选中第二条记录,右击,“Send to Intruder”,打开选项卡Intruder,点...
CTF学习第十九站——CTFHUB密码口令口令
qq_41174589的博客
10-14 459
查看源代码没有发现提示,小小的爆破一手逝逝。先抓包看请求方式,为GET。发现有一个长度不同的。输入密码得到flag。
CTFHUB口令
evil_ming的博客
05-15 333
打开环境 试了些常用的像admin 123456之类的都显示user or password is wrong 干了,bp一下先 发送到intruder导入弱口令字典和纯数字字典然后得到密码admin123 (就离谱)
CtfHub-wp(web)
01-23
对于弱口令,可以通过Burp Suite抓包并尝试爆破来获取密码文件。文件上传漏洞允许我们上传PHP一句话木马,通过前端验证的绕过(例如在Firefox中禁用前端代码),或者利用`.htaccess`文件实现文件解析漏洞,将木马...
SCZF-ZD-007 内网信息系统口令管理制度.pdf
04-11
SCZF-ZD-007 内网信息系统口令管理制度.pdfSCZF-ZD-007 内网信息系统口令管理制度.pdfSCZF-ZD-007 内网信息系统口令管理制度.pdfSCZF-ZD-007 内网信息系统口令管理制度.pdfSCZF-ZD-007 内网信息系统口令管理制度....
HA-Pwdremover3.1 - 一款移除PDF密码口令的软件
05-10
可以对PDF的加密密码口令进行移除,直接移除,非破解,速度很快。口令移除后即可对PDF文档进行编辑操作。
GM∕T 0061-2018 动态口令密码应用检测规范.pdf
04-01
标准:GM∕T 0061-2018 动态口令密码应用检测规范.pdf
[ISMS-C-05]口令控制策略
11-04
口令控制策略是信息安全管理系统(ISMS)的重要组成部分,其目的是确保信息资源的安全性和机密性。该策略规定了用户身份验证机制的建立、分发、保护、终止和收回的规则,以防止未经授权的人员访问信息资源。 用户...
常见弱口令字典.rar
01-27
通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令
世界级弱口令TOP50000个、
04-24
世界级弱口令TOP50000个,
ctfhub密码口令---口令
x2813488062的博客
01-30 3444
解题思路 既知道为弱口令 那用户名一般为 admin/user之类 先尝试admin 密码进行爆破 对登录页面进行抓包 先清除所有标识把抓取到的数据密码进行标识(就是需要进行爆破的位置) 加入常用密码,进行爆破 爆破后对比数据长度,发现密码为password 登录网页,拿到flag ...
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4590
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHub技能书解题笔记-密码口令-口令
qq_43006864的博客
12-17 955
一、打开题目 打开界面, 弹出来一个管理后台,盲猜管理员账号是admin。密码,那就只能爆破了。老规矩上burpsuit。 发送到爆破界面。数据包界面鼠标右键,选择intruder。 清楚$ 然后仅选中密码。 攻击类型这里选择sniper,这个是只爆破一个目标, 下一步导入字典。 我这里有网上找的字典,就直接导入了。 大家如果需要可以私信,给大家分享。 然后开始爆破,这里只爆破用户名,不需要过多配置。 很快就爆出了个长度不...
CTFHUB web 密码口令/默认口令
ookami6497的博客
03-20 5779
CTFHUB web 密码口令/默认口令 忘了截一开始题目的图,拿这个代替一下,反正也只有一个链接 打开题目链接,是一个登陆界面,题目说的是默认口令 一般这种默认用户名为admin我就试了下弱口令登陆,结果没用,然后我百度了下默认口令,出现的就是这个常见web系统默认口令总结然后在里面看到个这个网站(第一个网站) 看下题目的登陆loge,是 eyou邮件网关,百度一下看看,这个和那个登陆界面的图案一模一样,那就没跑了 , 然后我就在这个网站上试试能不能找到eyou的默认口令,结果上面搜不到。 然后直接百
CTFhub之web练习
weixin_45349299的博客
11-22 865
​ MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。​ 它是一个互联网标准,扩展了电子邮件标准,使其能够支持:​ 非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(multiple parts)组成的消息体;
43. CTFHub Web_密码口令
__Qian的博客
03-23 811
1.弱口令 1.打开页面链接 这里可以使用burp进行暴力破解,输入admin/password,即可获取flag 2.默认口令 1.打开页面后,发现是亿邮邮件网关,经百度查询,查到默认帐号密码如下,挨个进行尝试后,发现eyougw/admin@(eyou)为帐号密码 2.输入帐号密码验证码后,得到flag ​ ...
gm/t 0021-2012《动态口令密码应用技术规范》
06-07
GM/T 0021-2012《动态口令密码应用技术规范》是由中国国家标准化管理委员会颁布的规范文件,旨在指导和规范动态口令密码的应用技术。 动态口令密码是一种针对用户身份认证和信息传输安全的技术手段。通过该技术,用户可以在身份验证过程中通过手机等终端设备生成并输入一次性的动态口令,以增加身份认证的难度和安全性。 《规范》主要包括了动态口令密码的应用场景、技术要求、安全性能、管理与运维等内容。其中,对动态口令密码的算法、数据格式、传输机制、口令生成器和验证终端的安全性能等方面做出了详细的规定,以保证动态口令密码的应用达到高度的安全性和可靠性。 此外,《规范》还规定了动态口令密码的管理与运维要求,包括用户认证、硬件维护、日志记录和应急响应等方面。这些规定旨在保证动态口令密码的应用过程中有完整的安全控制和管理措施,以避免各种信息安全问题的发生。 总的来说,《规范》为动态口令密码的应用提供了全面的技术规范和管理要求,对推动动态口令密码在各行业的应用和发展都具有积极的促进作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值