BUU BRUTE 1

最新推荐文章于 2024-03-19 11:20:55 发布
最新推荐文章于 2024-03-19 11:20:55 发布
阅读量342 收藏 1
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53386879/article/details/132123906
版权

打开靶场,就只有这玩意

 随便搞几个弱口令登录试试

显示页面错误

看着有点无从下手

用burp抓包看看

送到repeater看看,果然有 ”用户名错误“ ,跟上边返回一样

 说明用户名不对它会提示

这时候可以试试先爆破用户名

为什么不连密码一起爆破了,因为假设字典里的用户名和密码各1000个

那直接一起爆破要进行1000*1000次尝试

而分开爆破则只要X*1000+1000次(X是字典中合法的用户名数量)

开始爆破用户名

将包送给intruder

在username处添加§ ,password先不动

添加payload,把username字典加进去

 开干!

 看到一个长度不对劲的,点开一看,说明用户名爆破成功,顺便提示了密码构成

爆破密码

把username的§去掉,并将其改成刚刚爆破出来的admin,把password加上§

密码是四位数字也就是0000~9999

所以将payload类型改成number

从0到9999,4位数的纯数字爆破

直接开干

喜提显眼包一枚

 拿到密码:6490

flag也拿到了

flag{743a0d0d-4343-4944-8455-7c50262eea1a}

星夜赴科场
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Burpsuite神器使用介绍
07-07
burpsuite神器使用详细介绍,让你从小白进入大神。
BUU 论坛的编辑器163Editor
09-21
1. **result.asp**:这可能是一个ASP(Active Server Pages)脚本文件,通常用于服务器端处理用户请求。在编辑器的上下文中,它可能是用来处理用户通过编辑器提交的富文本内容,例如进行数据格式转换或存储到数据库...
BUU-Basic-BUU BRUTE 1
七堇年的博客
01-20 1522
BUU-Basic-BUU BRUTE 1
爆破及BUUCTF->BUU BRUTE 1
2203_75773407的博客
10-30 190
爆破是通过大量的尝试来破解一些密码。
BUUCTF -> Basic -> BUU BRUTE 1(详解)
m0_72986388的博客
09-25 3072
我们可以随便输入用户名和密码然后通过burp抓包,得到它的请求包,通过暴力破解从大量数据中获取到正确的用户名和密码。payload设置,从文件中加载爆破字典(没有下载过的需要下载,txt的即可)(这也就是爆破的意义所在,通过遍历一个文件,一个字典中的大量数据来得到一个正确的数据)发现不再是用户名错误,而是密码错误。攻击完成后我们发现长度有217和202,197这几种,且 217数量极少,且对应的payload都相同,点击它。显示登录成功,说明6490是正确的密码,复制flag,输入,这道题就完成了。
ssi经验总结
04-09
1. **Action与Service的关系**:从描述中的“1.actionķڶݿĸ²һactionķִֻһserviceķ”这句话可以推测,这里的“action”可能是指SSI指令中的一个操作,而“service”则可能代表某种服务或者处理单元。...
POSN:POSN-BUU的源代码
04-01
1. **面向对象编程**:C++支持面向对象编程(OOP),这可能意味着代码中包含多个类,每个类代表了系统中的一个实体或功能,如定位器、传感器、数据处理器等。类之间可能存在继承、封装和多态性等特性。 2. **模板和...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
1. **解析WASM模块**:使用WABT或其他工具将`test.wasm`转换成人类可读的文本格式,例如Wat。 2. **理解控制流**:识别函数的入口和出口,理解基本块之间的跳转关系。 3. **分析操作码**:理解WASM指令集,识别...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF】BUU BRUTE 1 1
qq_41369524的博客
12-08 1096
payload选择numbers,从0到9999(千万别写1000到9999,因为4位数字也包括0001之类的)攻击结果点击render可以看到响应包的渲染结果:从长度来判断,其他都是202,就admin是217.本题目名字brute意思是残酷的,暴力的。可以看出是get传参,并且是要我们填正确的用户名。发现遍历特别慢,靶机都过期了还没试出来。所以可以试试暴力破解来爆破用户名。等一会儿,成功爆破出密码:6491。首先试一下root/123456。所以成功爆破出用户名:admin。其他的都是:用户名错误。
BUUCTF/BUU BRUTE 1
weixin_44041994的博客
03-19 219
从地址栏可以判断是采用了get请求,并且从错误信息可以判断该登录方法可能是先对用户名进行审查,正确后再判断密码,所以我们可以先对用户名进行暴破,得到正确用户名后再对密码进行暴破得到正确密码。选择好后,我们点击右上角的开始攻击,通过length我们看到admin的length出现不同,且返回的响应包内容变为"密码错误,为4为数字"可得知admin为正确用户名。攻击时我们发现有的请求返回429的状态码,查看返回的错误提示为Too many Requests,意思为太多的请求,我们需要调整我们请求的速度。
buuctf-BUU BRUTE 1
m0_74013288的博客
09-24 937
当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码,同样,它也不是一个真正意义上的密码,而是一个【拥有不同变体的格式】打开靶机后,我们可以看见一个登录界面,随机输入账号与密码,显示错误,那么Brup Suite进行爆破,找到正确账号为admin。需要注意的是,以下所有万能账号中的 a 可以是自定义的数字或字母,比如 1,2,3,b,c,d。密码随便输入,比如 123456。万能密码的使用:用户名输入 【万能密码】,比如 admin’ #需要注意的是:万能密码中的 admin,必须是真实的用户名。
BUU BRUTE 1(burpsuite爆破初学)
qq_45952875的博客
04-03 2090
(题外话,我的burpsuite一开始显示中文会出现方块乱码,找了一下解决方法,顺便知道了字号怎么改:Burp->Settings->User interface->Message editor->HTTP message display->Font改成DialogInput,字号在Size选)接着爆破密码,可以在Payload type把Simple list改成Numbers,也可以继续用Simple list载入0000~9999的字典,操作同上,找到密码查看Response得到flag。
BUU BRUTE 1 1
09-18
BUU BRUTE 1是一个爆破任务,根据引用所述,首先尝试爆破用户名,可以选择一个适合的字典进行爆破。接着,根据引用所述,可以切换到密码爆破模式,使用适当的字典或数字列表进行爆破。最后,根据引用所述,通过查看...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值