CTFHub:web前置技能-密码口令-弱口令

于 2024-06-09 17:19:31 发布
阅读量692 收藏 21
点赞数 27
分类专栏: CTFHub学习指南 #CTFHub-web前置技能-密码口令 文章标签: web安全 系统安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdnmddbl/article/details/139563748
版权

CTFHub个人学习记录

第三章:web前置技能-密码口令-弱口令

文章目录

前言

路漫漫其修远兮,吾将上下而求索。
本文涉及以下知识点,去引用文章学习即可:
链接: 我是一个知识点
链接: 我是一个知识点

一、解题过程

1.访问靶机页面,是一个登录页面随便输入用户名和密码,使用burp suite进行抓包,如下图所示:

在这里插入图片描述

2.把数据发送到intruder模块准备启用暴力破解模式,如下图所示:

在这里插入图片描述

一 Sniper(狙击手模式)
狙击手模式使用一组payload集合,它一次只使用一个payload位置,假设你标记了两个位置“A”和“B”,payload值为“1”和“2”,那么它攻击会形成以下
组合(除原始数据外):

Cluster bomb(集束炸弹模式)
文章尾部给出此题大概率命中的字典
集束炸弹模式跟草叉模式不同的地方在于,集束炸弹模式会对payload组进行笛卡尔积,还是上面的例子,如果用集束炸弹模式进行攻击,则除baseline请求外,会有四次请求:

3.这里一开始用的这个模式,奈何字典太大了,耗费了我好多金币也没爆出来,时间还不够了,我就盲猜他用户名是admin,启用sniper模式,不得不说,时间块多了,🐎的爆了我这么多金币,/(ㄒoㄒ)/~~,如下图所示:

在这里插入图片描述
在这里插入图片描述

4.查看不同的字段长度,找出异常那个,respnse找到flag,提交即可,如下图所示:

在这里插入图片描述
Cluster bomb(集束炸弹模式)
爆了我这么多金币,我很不服气,根据网上此题大部分师傅的wp总结出来的几个常命中的字典尝试(字典一定要短,不要很长,很多,不然跑死你,也跑不出来)

4.制作字典,如下图所示:

tiger
admin888
123456
password
admin
admin123admin
admin12
admin888
admin8
admin123
sysadmin
adminxxx
adminx
777admin
admin777
在这里插入图片描述

5.再次启用Cluster bomb模式,把用户名和密码勾选上,加载我们的字典,用默认进程,再次尝试,如下图所示:这里补充一个知识点referer是统计你的来源的,比如你从百度访问这个网站,他就会加上百度。

在这里插入图片描述
在这里插入图片描述

6.成功拿到flag,甚至10秒都不到,我真的哭死,如下图所示:

在这里插入图片描述

总结

大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)

思路:
文章很详细

Rum:)
关注
  • 27
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
压力测试工具:apache-jmeter-5.0
12-10
6. **前置处理器(Pre-Processor)**和**后置处理器(Post-Processor)**:分别在采样器执行前后运行,可以用于准备请求数据或处理响应数据。 7. **逻辑控制器(Logic Controller)**:允许你组织和控制采样器的...
frontend-note:前置学习笔记
03-20
在前端开发领域,掌握必要的前置知识是至关重要的。"frontend-note:前置学习笔记"这个资料包,显然为我们提供了一个全面的前端学习资源集合,涵盖了基础知识、框架学习以及移动跨平台开发等多个方面。以下是对这些...
ctfhub-web-信息泄露-弱口令/默认口令
最新发布
2301_80162151的博客
02-29 451
弱口令网络安全十大安全漏洞之一,所谓的口令其实就是我们的密码,而弱口令就是相对来说比较容易被破解的密码,它会对信息安全造成严重的安全隐患。弱口令我们可以简单的理解为能让别人随意就猜到的密码,比如abc、111、123、123456、88888888等等诸如此类的密码。除此之外大家都能知道的密码称之为弱口令。④口令为本人相关的名字字母,生日,易被发现的邮箱号,账号名昵称名。既然是弱口令就需要burp爆破,就在测试你密码本。既然是默认口令,在网站上是可以搜到的。将密码添加,简单输入一些弱口令密码
CTFHUB刷题 密码口令/弱口令
null1024的博客
09-05 4000
一、题目描述与分析 由题意,何为弱口令,指的是通常认为容易被别人(他们有可能对你很了解)猜测到或破解工具的口令均为弱口令。这里我们可以尝试暴力破解 二、解题过程 1.登入题目页面,如图 猜测需要提供2.用户名和密码,才能拿到flag,猜测用户名为admin 2.利用Burpsuite抓包 注意到 name=admin&password=123456&referer= 下面进行暴力破解 三.暴力破解 右键-->Send to...
CTFHub技能树之密码口令
qq_64948897的博客
08-07 2299
ctfhub技能树--web--密码口令(新手入门教程)
CTF学习第十九站——CTFHUB密码口令弱口令
qq_41174589的博客
10-14 474
查看源代码没有发现提示,小小的爆破一手逝逝。先抓包看请求方式,为GET。发现有一个长度不同的。输入密码得到flag。
CTFHub 密码口令
qq_58879949的博客
09-06 683
用burpsuite拦截,并用intruder进行爆破发现长度不一致的密码组合输入后得到flag。
CTFHUB弱口令
evil_ming的博客
05-15 355
打开环境 试了些常用的像admin 123456之类的都显示user or password is wrong 干了,bp一下先 发送到intruder导入弱口令字典和纯数字字典然后得到密码admin123 (就离谱)
CTFHUB JWT(Json Web Token)
weixin_63231007的博客
11-04 1947
然后看到decode函数这里它本质上使用的还是JWT上的编码的方法,使用的的KEY值是PUBLIC_KEY,也就是题目给出的提示公钥,发现在 JWTHelper类中,decode()、encode()默认的加密解密方式都为“HS256”根据这个条件我们需要编写一个python代码来生成token。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
web-notes:前置学习笔记
03-17
在IT行业中,Web开发是一项至关重要的技能,而JavaScript作为Web开发的核心语言,是每个前端开发者必须掌握的基础。本文将深入探讨“web-notes:前置学习笔记”这一主题,重点关注JavaScript的相关知识点,帮助你构建...
弱口令-字典
12-13
CTF -弱口令字典 需要的同学自取吧 大概有16KB,也算很多了
世界级弱口令TOP50000个、
04-24
世界级弱口令TOP50000个,
毕业设计php源码-walle-web-v1.x:walle-web-v1.x
06-06
一个web部署系统工具,可能也是个持续发布工具,配置简单、功能完善、界面流畅、开箱即用!支持git、svn版本管理,支持各种web代码发布,静态HTML,动态PHP,需要编译的JAVA等。 | | | 目前,超过百家企业生产环境...
web-note:前置笔记
04-04
一,检查之前有没有已经生成密钥cd〜/ .ssh或ls -al〜/ .ssh 1.检测下自己之前有没有配置:git config user.name git config user.email(直接分别输入这两个命令) 2.如果之前没有创建,则执行以下命令:git ...
CTFHub技能书解题笔记-密码口令-弱口令
qq_43006864的博客
12-17 974
一、打开题目 打开界面, 弹出来一个管理后台,盲猜管理员账号是admin。密码,那就只能爆破了。老规矩上burpsuit。 发送到爆破界面。数据包界面鼠标右键,选择intruder。 清楚$ 然后仅选中密码。 攻击类型这里选择sniper,这个是只爆破一个目标, 下一步导入字典。 我这里有网上找的字典,就直接导入了。 大家如果需要可以私信,给大家分享。 然后开始爆破,这里只爆破用户名,不需要过多配置。 很快就爆出了个长度不...
Web弱口令漏洞学习
weixin_74012678的博客
07-21 234
Web弱口令漏洞是指网站或应用程序中存在使用弱密码或常见凭据进行认证的安全漏洞可以从以下一些方面看一个页面是否存在漏洞 1.是否要求用户设置了复杂的密码;2.是否每次认证都使用安全的验证码;3.是否对尝试登录的行为进行判断和限制;4.是否在必要的情况下采用了双因素认证(通常是“令牌”、“手机验证”、“指纹识别”或“短信验证码”等);
CTFHUB 弱口令解题
qq_63575829的博客
04-06 812
因为叫管理后台,猜测用户名为admin,先以这个用户名进行爆破 用户名输入admin,密码随意输入,登陆时使用burp抓包 发送到intruder,并设置参数载入弱口令字典 爆破得到密码 登陆得到flag ...
CTFhub弱口令
plant1234的博客
06-03 605
弱口令: 启动环境发现: 发现后台登录,根据提示想到弱口令,用户名:admin 利用抓包弱口令密码集,爆破密码得到flag:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值