一道简单的CTF社工题思路

最新推荐文章于 2024-04-07 20:39:12 发布
最新推荐文章于 2024-04-07 20:39:12 发布
阅读量2k 收藏 12
点赞数 8
文章标签: html5 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53829555/article/details/127077619
版权
本文介绍了作者在玩CTF挑战时遇到的一道社工题,涉及网站根目录分析、社工手段和邮箱及后台的破解。通过目录扫描发现/admin/logo.php可能是网站后台,通过Wireshark抓包分析SMTP协议获取了骗子邮箱的账号和密码,最终通过社工信息解密得到了后台登录凭证,找到了隐藏的flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近开始迷上了玩CTF,今天遇到一个很狗血的社工题,与其说是社工,但是又搞得很杂,下面我来给大家讲讲这道题目的思路.
题目来源:https://ctf.bugku.com/challenges/detail/id/187.html
注:本文章纯属学习交流,切勿用于违法途径.如有侵权请联系删除.

目录

网站根目录分析

  1. 首先运行环境,这里看到给了我们一个QQ刷钻的网址.
    在这里插入图片描述

  2. 老规矩,既然拿到网址,那就先对他进行目录扫描
    2.1 这里咱们扫描到了八个网址,其中有几个包含了文件夹,起初我以为flag就藏在这些根目录的文件夹文件里了,但是看了一下啥都没有.后面我转念一想既然是社工题,总不能没有一点社工的影子吧.
    在这里插入图片描述

    2.2 后面我打开了/admin/logo.php的根目录,发现疑似为网站后台,咱们要的flag可能就藏在后台里.但是我又没有密码,于是我就想这个密码可能就是要通过社工的手段获取.
    在这里插入图片描述

社工分析

  1. 原网站通过打开开发者工具看到"下载辅助"这里有一个压缩包附件.这里咱们下载打开.<

最低0.47元/天 解锁文章
CTF(bugku)——社工进阶收集
ashuang6的博客
08-23 1350
Ctf(bugku)—社工进阶收集 下载打开图片不知道怎么下手。 并且地理也不好,也不认识什么塔,就去百度搜了一波中国各个古塔相关的夜景照片。谁能想到一下子就遇到了我想要的。 知道了它是西安的著名景点—大雁塔,确定了城市。然后图片也没啥用了,接着看她发的图片动态说明和下面的评论。有用的信息 (坐了7站到的大雁塔、始发站距离她家800米、下一站距离她家1公里、中途换了一站。) 接下来我打开地图搜索西安的地铁航线图,找到大雁塔地铁站,然后寻找符始发站到大雁塔为7站的地铁站就有两站,一站是鱼化寨,一站是
写一下自已对ctf的了解,以便日后自已需要
m0_50987622的博客
11-07 6177
11.7 本人ctf小白,参加比赛基本处于摸鱼状态,也没有系统了解过ctf以及做过相关的实践和练习,但是,对这一块比较感兴趣,所以,只能说,在学习中,就跟我当初学makefile一样,做下记录,写点自已觉得对自已有用的东西,大概这样。 ctf总共分为五部分,misc杂项,crypto解密加密,pwn攻破设备、系统,reverse逆向渗透,web网络安全。500pt的都很难。 首先,建立在你对前后端足够了解的基础上。 web安全就是黑服务器,pwn就是黑设备黑系统,至于怎么黑,仁者见仁智者见智,取决
YIT-CTF社工
weixin_30384031的博客
11-20 273
下载图片 转载于:https://www.cnblogs.com/Yuuki-/p/7868706.html
Bugku-CTF社工篇之简单社工尝试
weixin_30593443的博客
08-19 337
简单社工尝试 这个狗就是我画的,而且当了头像 这提示的其实很明显了 想想吧 本要点:谷歌识图、信息搜集 打开1.png,发现是一只狗 存储到本地 我们可以通过谷歌识图来找找它的出处 点击进去后,我们可以观察发现有一个微博链接 从相册里看到带有bugku关键字...
CTF练习——社工-进阶收集,小明打了一局CTF追到了小美
Jum的博客
11-26 3167
目 分析目 重点分析 再次分析 验证结果 拿目 附件就只有一张图,是QQ空间饿的说说。 分析目 使用百度识图技术初步判断该图的位置。得到如下重要结果:可以判断出这个是西安的大雁塔,来锁定位置是西安。 接着,从评论中对话,我们大概可以获得以下信息: 1、小美距离大雁塔一共有七站地铁,其中要进行中转。 2、时作者是从始发站出发的,距离下一站有一公里多,距离始发站800多米。 根据地铁的线索我们想着是赶紧去查询西安地铁线路图。西安地铁官网https://...
BugKu CTF(杂项篇MISC)—社工-进阶收集
小司机的奥拓
08-01 742
5.最后试出来是兰乔国际城。这时候你当然需要一份系统性的学习路线如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。一些我收集的网络安全自学入门书籍一些我白嫖到的不错的视频教程:上述资料【点下方卡片】就可以领取了,无偿分享。
BugKu CTF 社工部分,社工进阶
qq_42937520的博客
04-07 878
打开目 提示弱口令。 百度一下 孤长离看看效果 贴吧中找到。 弱密码打开邮箱:a123456 尝试top100弱密码一个一个试试。 找到flag。邮箱里的flag可能被人删了。 正确flag的是KEY{sg1H78Si9C0s99Q} ...
社工的微末理解
DeViLve的博客
11-22 1081
0x00: 社会工程学简介: 起源: 上世纪60年代作为正式的学科出现,广义的定义为建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问,经过多年的发展产生了公安社会工程学和网络社会工程学等分支。 本节主要讲述作者对网络社会工程学的认识。 在世界第一黑客凯文·米特尼克所著《反欺骗的艺术》中讲到很多由于个人因素而造成的对企业公司和个人的信息泄露被人利用而造成的经济损失和其他破坏等。书中包含但不仅限于获取私人或企业的信息对话的示例,攻击手法针对人性的弱点,并未采用高深的黑客技术或者少量使
CyberCTF 4道MISC
A_dmin的博客
07-09 670
CyberCTF 4道MISC 一天一道CTF目,能多不能少 虽然说今天课设,但是CTF还是要打的, 就说一下做对的misc解思路吧 最后一道MISC只有一点点头绪,但是做不出来。。。。。 第一道MISC Sign in 签到,没什么好说的,下载文件打开: 直接扫描条形码就得到了flag~ 第二道MISC No Word 下载文件,直接打开是一个空白文件。。。。。 其实里面有东西的, 说...
首届广西网络安全技术大赛初赛通关攻略
热门推荐
weizehua的专栏
11-16 4万+
首届广西网络安全技术大赛初赛通关攻略前言第一次参加安全类比赛(好吧,其实我这种宅男参加的比赛都很少,很多种比赛都是第一次 - -),同组的组员建议我在比赛完写个通关攻略出来。听起来不错,写个通关攻略,顺便装装逼,真不错。 初赛分为5目,分别是:密码学、安全杂项、WEB、溢出类、逆向破解。目总的来说,简单到离谱(至少解出来的所有目都是特别简单的)。大概因为是第一届,环境没配好,有些目解法有
BugkuCTF-社工
1stPeak's Blog
08-22 2422
好久不做目了,慢慢来,先来点简单的 1、密码 盲猜一个zs19980315(看的qwq) 2、信息查找 解:直接按他的要求去搜 3、简单个人信息收集 附件链接https://pan.baidu.com/s/1l9907EUd6tBaScCsYW8QwQ 提取码:7gzg 看别人wp原来这还有伪加密的,现在没了,想了解的,看文章底部的链接 社工库查询:http://site3.sjk.space/dosfz.php 4、社工进阶 解:百度搜索孤长离,发现有个贴吧 看到163,我们想到
CTF社工-初步收集
最新发布
qq_74263993的博客
04-07 407
说已经20 了,那么他应该是2001年出生的,“前两天”那生日无非就是2月6日,根据中国人的传统补全0,那么就是20010206的生日,姓名就是mara。看了别人的文章发现那个不是密码是授权码,所以用qq邮箱登录了(但是有些***把授权码改了所以后面写的人是登录不进去的)下面是网上以前登录成功的截图。没发现什么有用的信息那我们就去wireshark看看数据包喽(谁叫目叫社工收集)时间多的可以爆破一下(反正我爆不出来),接着我们下载那个压缩包看看。过滤一下smtp发现了编码的user和pass。
超级小白,几道简单ctf
cried_cat的博客
05-11 5676
转]汉字 ASCII码 由浏览器的实现url编码实现 (2012-08-16 11:14:56)转载▼标签: 杂谈 用alt+数字能打出一个字或一个字符,这个数字就是ascii码。 ascii码可以根据http编码算出,比如说我要查“我爱你”这三个字的ascii码,首先要知道他们的http编码,进入百度贴吧,输入“我爱你”, 点击搜索,地址栏会出现一串很长的地址,为了简化这个地址,点击左上角主列...
ctf Bugku-社工-初步搜集
Oranges.的博客
10-18 875
bugku -社工-初步搜集 新手一枚,参考了网上信息完成 这里是网站主页,查看源码什么都没有发现,进行敏感路径扫描 这里使用的是dirsearch进行扫描,这里扫描到了登录, 打开网页出现登录界面,尝试admin登录,发现失败了,这是,原网站只提供了一个下载连接,下载下来,是一个exe文件。 打开后为下面界面: 我们输入账号密码进行测试,没有信息,进行抓包测试,我利用的是wireshark,发现了user,pass和一个邮箱 对pass进行解码 得到后我们在登录界面输入账号密码进行测试,显示
BugKu CTF 社工部分writeup
weixin_42263657的博客
12-23 5542
1.密码 姓名:张三 生日;19970315 就是猜密码吧 zs19970315 2.信息查找 社会工程学基础目 信息查找 听说bugku.cn 在今日头条上能找到?? 提示:flag为群号码 百度了bugku.cn和今日头条都不行,于是Google了bugku.cn发现一个今日头条的网站,点进去看有两个qq群号,然后flag是第二个 3.简单社工尝试 这个狗就是我画的,而且当了头像...
bugku ctf 简单社工尝试 wirteup
成长之路
07-05 4249
简单社工尝试 一、目内容:这个狗就是我画的,而且当了头像这提示的其实很明显了,想想吧。 二、这是一个社工,将图片上传到google识图(需要fuqiang)        google识图后 发现一个bugku的关键字,打开网页 发现一个微博连接,而且还有bugku关键字 打开连接 进入这个连接就可以拿到flag了
bugkuCTF——社工
灬彬的博客
07-31 1万+
1、密码                                                        分析:这个是典型的弱口令,猜了一下,KEY是姓名+生日, KEY{zs19970315}   2、信息查找                                           分析:直接百度bugku群号码,    得出 KEY{462713425...
BugKu-CTF(web篇)---社工-初步收集
Nailaoyyds的博客
03-07 1279
思路: 第一个思路就是先扫子目录,寻找出有效的敏感文件。 扫完子目录以后也没有什么有效信息,纯粹浪费时间, 发现有一个登陆框,各种手段爆破不出来,这时候就要换思路了 首页有下载链接,下载一下 是一个小插件 用wireshark抓包分析一下,在流量里边获取用户名和密码以及一个邮箱 密码后边两个等号==,一眼就知道是base64,去做解密 XSLROCPMNWWZQDZL 邮箱+用户+密码 提示很明显了 去试下邮箱登录 也不对。邮箱登录的方式,主流...
bugkuctf 社工-王晓明的日记
wuerror的博客
08-08 1967
社工还是有意思。根据目提示找到bugku在线工具里的社工密码生成器,把相关信息输入,再把生成的密码存进txt。然后用burpsuite_intruder爆破一下就有了。...
云南大学社工考研历年真精华:原理与实务透析
论述如对《社工介入家庭教育》的看法,要求考生分析政策背景并提出专业建议,以及社工在精准扶贫中的角色和策略。 案例分析部分则紧密结合实际生活,如"李大妈孙子的情况",考生需运用社会照顾理论和社会支持网络...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值