CTFHub-Web基础认证

最新推荐文章于 2024-05-15 02:40:47 发布
最新推荐文章于 2024-05-15 02:40:47 发布
阅读量849 收藏 4
点赞数 1
分类专栏: CTF 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45871855/article/details/109369934
版权

在CTFHub中被搁置好久的题:

原地址

在这里插入图片描述

(1)打开链接

在这里插入图片描述

点击click得到一个输入框

在这里插入图片描述

“Do u know admin?”可知这个题的用户名大概率是”admin“

(2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法

我们可以用burp抓包,进行密码爆破

在这里插入图片描述在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得

admin:19s45

可知这串字符是这个题的用户名和密码;

(3)将它进行爆破

将数据发送到 Intruder 进行爆破前的设置

在Basic 后的字符串上添加 Add $

在这里插入图片描述
导入(Load)的字典就是题目的那个附件

Payload Processing => Add => Add Prefix => 输入 admin:

Payload Processing => Add => Encode => 选择 Base64 Encode

Payload Encode,URL-encode前面的勾去掉 :防止将Base 64 的=化为3d

在这里插入图片描述
Start attack进行爆破

在这里插入图片描述

爆破完成后可以看到Length中有一个不同,点开复制对应的字符串的将其解码

在这里插入图片描述

得到用户名与密码,输入得到

在这里插入图片描述
ctfhub{156a52370f2294a9d9d94aa639640c9bcf421573}

青山老茶树
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHUB-WEB前置技能-HTTP协议-基础认证
K_ShenH的博客
06-09 1106
CTFHUB-WEB前置技能-HTTP协议-基础认证
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
CTFHUB技能树——web
qq_63980959的博客
04-20 5115
因为我一开始是没打算写博客的,所有前面的图基本都没截图,以至于后面想写博客的时候没图,又没有金币了,我想吃西瓜都吃不到,更别说充金币。分币不花,玩的就是陪伴。前面的一些图来自于大佬们的博客,我会在结尾@出来。
网络安全最新ctfhub技能树web(3),2024年最新使用指南
最新发布
2401_84254530的博客
05-15 766
id=1 and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘sqli’ ),0x7e),1) --+ 查字段名。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。因为是无验证,所以直接写一个
CTFHub | Web——文件上传(前端验证)
2301_76435948的博客
10-07 691
在通过验证之后还未发出时,拦截HTTP请求,然后修改数据,使得JavaScript的验证不起作用。虽然将后缀名改回.php,里面的代码仍然存在,但是我想要的是图片形式的木马啊(Q_Q)cmd 将该木马文件复制到任意图片中,利用文件包含漏洞解析图片木马。cmd 将该木马文件复制到任意图片中,利用文件包含漏洞解析图片木马。JavaScript属于前端验证,在浏览器未提交数据时进行验证。修改图片内容 在图片txt格式末尾加一句话木马。修改图片内容 在图片txt格式末尾加一句话木马。利用工具edjpgcom。
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4646
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHub之easy_login
天天学安全专属博客
03-23 435
CTFHub之easy_login
bugkuctf解题-WEB
05-04
CTF(Capture The Flag)比赛中,Web安全领域是一个重要的环节,它涵盖了各种网络安全技能,如漏洞挖掘、代码审计、Web应用渗透测试等。本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-web学习大纲
01-30
CTF-web学习大纲
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
CTFhub-基础认证
qq_43006864的博客
12-11 7671
一、首先,打开题目所给界面。这里他给了我们一个密码本。 这里提示我们。这儿是你的flag,还有一个可以点击的选项。 正常思路,我们会点击这个click交互键。 二、然后弹出来了一个登陆界面,这里老规矩,打开burpsuit,进行抓包。 这里跳过之前的抓包步骤,我们直接用burpsuit,到登陆界面。 然后进行一下测试,因为目前没有更多的思路,所以先随便输入用户名和密码,这里我输的是aa:aa。 然后进行抓包,发现了Authorization:后面有一串BASE64的编码 ..
CTFHUB-WEB-WEB前置技能-HTTP协议-基础认证
bbbbb___的博客
09-09 472
解决了许久以来的困惑~搞清楚原理以后这道题还是比较好做的~~
CTFHub-基础认证
Have_a_great_day的博客
09-06 755
CTFHub-基础认证之夺旗流程
ctfhub HTTP协议-基础认证
qq_44640313的博客
01-20 682
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
CTFHUB-技能树-Web前置技能-基础认证、响应包源代码
Static______的博客
03-27 652
桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 例如:当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,这就是基础认证。启动题目后,开一把贪吃蛇游戏后,查看源代码即可,F12,在查看器中,也可以得到。再payload option中导入字典(点击载入),载入附件给的密码字典。
ctfhub HTTP协议 基础认证
qq_75120258的博客
10-15 258
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
ctfhub 基础认证
m0_63711447的博客
05-25 2576
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值