CTF之bp

最新推荐文章于 2024-08-03 22:24:31 发布
最新推荐文章于 2024-08-03 22:24:31 发布
阅读量174 收藏 2
点赞数 1
分类专栏: ctf 文章标签: 网络安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74263993/article/details/140859998
版权

 一看题目就是爆破

 

 首先我们要下载一个top1000的字典用于爆破(放文章最下面了)

接着我们找到爆破的位置添加payload

 选择payload类型和字典文件

接着就是直接攻击了!但是攻击下来你会发现返回长度都一样!无法区分。

这时候我们就要看响应代码了。

从这段js代码我们可以发现定义了一个r={code: 'bugku10000'},而r.code=='bugku10000'又返回错误。

什么意思呢?

意思就是只有密码正确了r才不等于bugku10000,响应就没有这段代码了,否则就会出现这端代码。

所以我们从攻击结果设置这里,找到检索匹配,添加一个{code: 'bugku10000'}

通过区分响应包里有没有{code: 'bugku10000'},就可以得到密码。

 密码为zxc123

flag{115872e9b4d72142440ba14cf23b81e7}

下面是字典链接

链接: https://pan.baidu.com/s/1pvY6Rt9OzNHCDACfbC2gpA?pwd=vkwz 提取码: vkwz

小黑子不会打篮球
关注
专栏目录
CUIT CTF WriteUp-BP断点
RickGray
05-22 1230
我就不对此题进行任何评价了,在开赛3分钟的时候就发现png了 当时由于没想到爆破长宽就没做了,直到第二天早上才搞定,下面说说此题的解题步骤 首先,文件down下来后发现是张无法显示的bm,用winhex或者其他16进制编辑器打开
CTF之路:关于X-Forwarded-For注入
zw05011的博客
01-05 3107
题目 输入任意用户名密码登录,显示IP禁止访问。 知识点 伪造XFF头绕过服务器IP过滤 IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)简称XFF头,是HTTP 报文头部的关键字段之一。代表了HTTP的请求端真实的IP。它被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准(通常一些网站的防注入..
BugkuCTF-WEBbp
am_03的博客
08-24 582
查看题目的提示和描述 尝试输入admin,zxc111,失败 admin,zxc123,竟然成功登录界面 这题这么随便的吗? 真服! 也可进行爆破得到密码 flag{a03c860c57aca1c9697d8007f358cf1f}
CTF WEB基础】BP - Bugku CTF
最新发布
yu_fly_fish的博客
08-03 351
一起变强!
CTF-入门八
realstarstarli的博客
06-15 808
CTF-入门八 这篇博客是这周关于CTF的学习,其实题没有做多少但是我觉得,内容已经够发一篇博客了。主要的内容有 (一)sqli-lab靶场的搭建 (二)基于bugku web 成绩单的sql注入入门 (三)输入密码查看flag的wp 点击一百万次的wp 听说备份是个好习惯的wp (一)sqli-lab靶场的搭建 sqli-lab搭建 这是一个sql注入的练习平台,有很多的关卡等你挑战,哈哈 git clone https://github.com/Audi-1/sqli-labs.git 这是sqli
bp测试工具
06-23
亲测的抓包分析渗透测试工具!
CTF之路:git项目本地版本库(.git文件夹)漏洞利用
zw05011的博客
01-08 2994
1.题目 BP监听数据包里有一个flag,base64试了一下,假的。 试试扫描后台目录,用御剑后台扫描珍藏版OK 题干提示用linux,kali linux平台有gobuster(但是扯淡的是2021版本里竟然没有安装) 扫描发现了.git目录,说明存在git本地版本库漏洞,flag就在这里。 2.知识点 git项目本地版本库漏洞利用 wget递归下载 3.解析 #安装gobuster sudo apt install gobuster ​ 使用gobuster对网站后台进行
CTFWEB(BUGku Ctf 1-7 题解)
RBMan的博客
12-18 1468
这几天做的一些CTFWEB方向的题,才入门所以会写一些心得。1~7题的心得,不喜勿喷。我会坚持下去的。 一.post和get请求方式的不同 1.get:较为简单,如果叫你输入数值的话,直接在URL后面加就行了。格式如下: www.123123123.com/?abc=ABC(所需要提交的参数) 2.post:需要使用火狐上的插件HackBar,先打开该插件,再打开网页,然后URL就会出现在上面的大框中。图片如下: 然后,在下面的框中输入需要的提交的参数,就可以了。 二.关于get请求方式中遇到问题:
CTF之路:关于HTTP $_GET方法中使用base64加密传值
zw05011的博客
01-06 2169
题目 盖楼游戏 但是,不管盖到几层都是失败。题目是不是想让我们想办法通关呢?去试试。 知识点 HTTP $_GET方法中常用base64加密参数值 base64是什么 首先明确一点base64 是一种编码格式。就想UNICODE一样,能在电脑上表示所有字符,或者换句话说通过编码能让电脑理解你想要表示的字符(因为电脑只知道0和1 ) 就像ascII 中 0100 0001 表示A. 当然base64 并不是为了表示当个字符的。 想base64 的名字一样。他的作用是用64个字符(A-Z a-z 0-9 +
CTFweb题型
qq_35033983的博客
11-17 1万+
web题型总结
CTF工具使用汇总
qq_47804678的博客
12-20 4778
做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。
【bugku CTF】POST、头等舱、网站被黑、alert、你必须让他停下、本地管理员、bp
m0_63563528的博客
02-01 1470
burpsuite抓包、爆破等模块的使用,hackbar的使用
CTF常用工具汇总
Cairo_A的博客
04-08 1828
​ 做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。 ​
Burp Suite
a3uRa的一个窝
04-16 964
  Burp Suite(简称bp) 是用于Web 应用安全测试工具的集成平台,包含许多工具。   Proxy :一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许拦截客户端发送到服务端的请求数据包 Intruder:一般用于爆破密码,用户名,还可以进行sql注入的测试,来查看过滤了哪些语句,关键词 Repeater:在Proxy拦截请求数据包后,发送到Rep...
CTF BugKu平台———(Web篇②)
Aluxian_的博客
05-10 1014
源代码: unescape编码:https://tool.chinaz.com/Tools/Escape.aspx PS:p1+’%35%34%61%61%32’ + p2 然后提交即可 67d709b2b54aa2aa648cf6e87a7114f1 文件包含: file=php://filter/read=convert.base64-encode/resource=index.php #构造pyload 好像需要密码: bp爆破密码:12468 备份是个好习惯: ...
简单解释一下BP(burp suite)的使用。
热门推荐
NS_Speak(IVAV)
05-14 2万+
Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的以下特点.1.代理–Burp Suite带有一个代理,通过默认端口8080上运行,使用这个代理,我们可以截获并修改从客户端到web应用程序的数据包.2.Spi...
CTF-入门九
realstarstarli的博客
07-19 1241
CTF-入门九 这里继续bugku web的题解记录. 秋名山老司机 拿到这道题,告诉你们在两秒之内提交答案,手动肯定是不行的。 两秒内刷新是这样的页面,这里也可以知道是post方法传值 这里给出脚本,网上的脚本大同小异,这里按照惯例优化了一下代码并给出完整的代码注释 import requests from bs4 import BeautifulSoup #获取网页内容,并且提取<div>内容 ''' 通过我们对于题目的源代码的分析可知,在两秒内刷新页面会得到不一样的结果 这里其实是会话
CTF-web 第四部分 burp suite使用
iamsongyu的博客
10-09 4654
四. burp suite使用 一般其是作为一个辅助工具,直接使用来解题的部分是少数,我们可以使用它来观察请求和响应,并且可以反复的提交,关键的是他还带有很多其他的功能,在我们做题的过程中,使用的关键点包括: 1. 页面和源码无特殊信息时,可以使用抓包观察 ----有无特殊字段,泄露服务器或flag等信息 ----对提交的url和数据进行观察 2. 使用reapter功能,重复的测试提交的数据,观...
ctf之bsp文件分享
10-02
ctf之bsp文件分享是一种常见的技术手段,用于在计算机安全领域进行攻击和渗透测试。它的原理是将恶意代码隐藏在一个看似正常的文件中,如图片、文档等,利用文件的解析漏洞或执行特定操作后,执行恶意代码实现攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值