ctfhub HTTP协议 基础认证

最新推荐文章于 2024-05-31 14:39:15 发布
最新推荐文章于 2024-05-31 14:39:15 发布
阅读量216 收藏
点赞数 1
分类专栏: CTFHUB 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75120258/article/details/133843705
版权

前言

在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证

什么是HTTP基础认证

当客户端和服务器进行交互时,会将用户名和密码以“用户名+冒号+密码”的形式组合并且使用BASE64算法加密后存储到数据包中的header Authorization中发送给服务器,服务器通过验证这一信息进行身份验证。这种方法叫做HTTP基础认证。

HTTP基础认证虽然使用了BASE64加密,但是用解码器很容易就会被解码出来,并不安全,所以一般使用其他方式进行认证,如HTTPS。

形式如下: Authorization: Basic <凭证>

WP

首先我们打开环境,给了我们一个附件,再下载附件。

正常人都会点击这个click,点进去

看到这儿,就知道肯定要抓包,打开BP,用户名输入admin 密码输入123进行抓包

看到这个没,就是HTTP基础认证的形式,直接使用bp工具解码

解码得到了我们之前输入的用户名和密码,中间用:分开的

开始爆破,导入他给我们的字典,有效负载要手动处理一下,因为用户名和密码都进行了Base64编码,所以我们要添加一个前缀  admin: 记得加:噶 ,再添加一个编码,选择Base64,还有一点有效载荷处理要取消,不然爆破不出来。

开始爆破

爆破成功,发现了一个超度和状态不一样的Base64代码,这就是用户名和密码了,复制粘贴

最后再重发器里修改Base64编码后发送,就得到我们的flag了

是小航呀~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFHUB-WEB前置技能-HTTP协议-基础认证
K_ShenH的博客
06-09 1082
CTFHUB-WEB前置技能-HTTP协议-基础认证
CTFHUB HTTP协议基础认证和响应包源代码解题
qq_63575829的博客
04-01 640
基础认证 打开网页,点击click,发现要登陆。 在开启题目处下载的附件解压后是密码字典。 先使用burp抓包,发现basic realname,给了密码字典,则猜测admin是账户名 接下来使用intuder用字典爆破密码,先随便输入一个密码,登陆时抓包,发现basic后面为输入的账号和密码的base64加密形式,进行爆破设置。 添加admin:在密码前,并统一改为base64加密形式,并取消payload encoding 找到stutas为200的密码,并使用base64解密得到密码.
CTFHUB-技能树-Web前置技能-基础认证、响应包源代码
Static______的博客
03-27 555
桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 例如:当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,这就是基础认证。启动题目后,开一把贪吃蛇游戏后,查看源代码即可,F12,在查看器中,也可以得到。再payload option中导入字典(点击载入),载入附件给的密码字典。
CTFHub题解-技能树-Web-Web前置技能-HTTP协议【请求方式、302跳转、cookie、基础认证、响应包源代码】
嘿嘿嘿
01-18 1138
ctfhub技能树http
ctfhub HTTP协议-基础认证
qq_44640313的博客
01-20 673
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
CTFHUB-WEB-WEB前置技能-HTTP协议-基础认证
bbbbb___的博客
09-09 408
解决了许久以来的困惑~搞清楚原理以后这道题还是比较好做的~~
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4563
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHub http协议 基础认证题的两种解法
tempulcc的博客
09-28 1228
CTFHub http协议 基础认证题 在做natas时就经常遇到需要http基础认证,python中requests模块提供了对应的方法可以用来对账号密码进行爆破。 打开题目抓包,点击click获取flag,弹框需要账号密码,随便输入账号密码,已知账号admin,题干下面提供了密码的字典,直接上python脚本走一波 方法一:利用python中requests模块的auth.HTTPBasicAuth爆破 import requests proxies={"http:http://127.0.0.1
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 ...url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
3.18号日报,ctfhub中web,文件上传漏洞题目解法
03-18
文件上传漏洞
HTTP协议内容简介
01-11
HTTP协议,即超文本传输协议(Hypertext transfer protocol),本文档包含HTTP请求(请求格式、请求行、请求头和请求体等),HTTP请求方法,HTTP响应,HTTP响应状态码等。
CtfHub-wp(web)
01-23
ctfhub平台web篇wp
SqliSniper:针对HTTP Header的基于时间SQL盲注模糊测试工具
FreeBuf_的博客
05-28 781
1、基于时间的SQL盲注检测:确定HTTP Header中潜在的SQL注入漏洞;2、多线程扫描:通过并行处理提供更快的扫描能力;3、Discord通知:通过Discord webhook发送检测到的漏洞警报;4、假阳性检查:实现响应时间分析,以区分误报;5、支持自定义Payload和Header:允许用户自定义用于扫描目标的Payload和Header;在使用自定义Payload文件时,请确保你使用“%__TIME_OUT__%”设置了恰当的休眠时间。
浅谈配置元件之HTTP信息头管理器
测试人,测试魂
05-28 495
HTTP信息头管理器是JMeter中的一个配置元件(Config Element),用于控制和管理发送给服务器的HTTP请求头部信息。这些头部信息可以包括但不限于Cookie、User-Agent、Accept-Language等,它们对服务器处理请求的方式有直接影响,尤其是在处理跨域请求、认证、语言偏好等方面。
HTTP的系统登录页面,如何避免明文传输用户密码?
gzyes
05-28 353
对于系统登录页面来说,我们作为开发人员,应该没有陌生的吧。就像下面这样子。 点击登录,调用/login 接口。来看下面截图中的 载荷(payload)数据,其中,密码 password 的值是明文。 如果你的站点使用的是HTTPS协议,配置了有效的SSL证书,那将很好。HTTPS通过SSL/TLS协议建立安全的加密通信通道,确保传输过程中的数据被加密。这样,用户在登录页面输入的密码将在传输...
网络原理】HTTP|认识请求“报头“|Host|Content-Length|Content-Type|UA|Referer|Cookie
最新发布
qq_73017178的博客
05-31 737
本篇文字主要介绍了HTTP的请求方法header:host,content-length,content-type,UA,referer,cookie,其中重点的就是cookie,主要介绍了是啥,怎么存,从哪来,到哪去,作用是啥,还有一个典型应用场景:保存会话id
ctfhub基础认证
07-28
CTFHub是一个专注于网络安全、信息安全和白帽子技术的在线学习和实训平台。它提供优质的赛事和学习服务,并拥有完善的题目环境和配套的writeup,以降低CTF学习的门槛,帮助选手快速成长,跟随主流比赛潮流。\[3\]关于基础认证的具体内容,可以参考HTTP基本认证的工作流程。在HTTP基本认证中,浏览器可以通过提供用户名和密码的方式进行身份验证。服务器会返回401状态码,并在首部提供验证信息,包括一种查询方式。用户可以在新的请求中添加Authorization首部字段来验证身份。通常,凭证信息会被编码或加密处理。\[1\]\[2\] #### 引用[.reference_title] - *1* *2* *3* [CTFHub | 基础认证](https://blog.csdn.net/m0_51191308/article/details/127117142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值