bugku web-(bp)

最新推荐文章于 2024-04-29 17:15:11 发布
最新推荐文章于 2024-04-29 17:15:11 发布
阅读量213 收藏 1
点赞数
分类专栏: python bugku 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46578840/article/details/120085450
版权

打开网址是一个登录框。已知账号是admin
且根据提示是要爆破,top1000,
在这里插入图片描述
爆破了完了发现相应包长度都一样,根本看不出那个是正确密码,
但是发现每个相应包都会返回一串JavaScript代码告知我们的密码有错误
既然是告知我们密码错误的,那么找出返回跟这一串js不一样的相应包即可
在选项中添加
在这里插入图片描述
接下来我们注意这个选项即可
发现了
在这里插入图片描述很明显的发现js代码不一样,登录得到flag

星星明亮
关注
专栏目录
BUGKU-WEB
wojiushilsy的博客
02-22 532
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
bugku-writeup-web-好像需要密码
dark的博客
06-15 1081
bugku-web15解题思路记录。” 题目:好像需要密码
Bugku webbp
DdddddXxxxx的博客
07-16 934
题目提示密码为“zxc???”,猜测密码为zxc开头的6位字符串。 随意输入密码后,对返回界面进行源代码审计。发现脚本如下 <script> var r = {code: 'bugku10000'} if(r.code == 'bugku10000'){ console.log('e'); document.getElementById('d').innerHTML = "Wrong account or password!"; }else{ console.log('0')
bugku web bp
cuddlylm的博客
10-02 1786
因为确定了账号,所以只用爆破密码,抓包爆破一条龙,弱口令top1000来自 https://gitee.com/XiuMulty/PasswordDic/repository/archive/master.zip 爆破完了以后发现所有报文长度都是一样的 使用burp suite里的options选项卡找到Grep-Match(在响应中找出存在指定的内容的一项。)筛选出唯一没有提示的一篇报文 复制密码到网页就出flag 相比于一般的bp爆破题,这题要学的就是当报文长度都相同而不再作为筛选条件时,如何使
BUGKU-WEB bp
天泽岁月
02-16 1685
BUGKU-WEB bp 看似爆破,实则考察过滤
[bugku] web-bp
weixin_54957456的博客
11-23 4947
蛮简单的一道密码爆破题,就是有一点点小坑。 弱密码top1000应该就是要你去网上找top1000的字典,z?????应该就是z开头的一个密码(事实证明的确如此) 密码上传点抓包 设置payload后 导入下载好的top1000,开始爆破 发现所有返回长度都一样,分析返回包,发现所有错误返回包都有如图下字段,截取以下字段,在option 中的grep-match中加入。 重新爆破,不观察返回长度而是截取字段那一项 发现成功密码。 ...
bugku-web-bp-wp
qq_37659794的博客
11-09 3170
ctf-bp 题目分析: 本题页面如下,需要填写密码登录成功可能会有flag 题目给的提示是top1000???z???? 因此不难看出密码是top1000字典里的弱密码 且开头可能为z 可抓包试着看看。用火狐浏览器设置代理服务器127.0.0.1:8080,在页面中随便输入字符提交抓包: 点击该页面的action选项,选择send to intruder即暴力破解模块。选择position即暴力破解的位置,这里选择密码模块。 爆破之前我们要找到top1000的字典。以下为下载地址 https://g
BugKu_WEB_(1)
young的博客
07-21 1036
BugKu平台练习wp
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4207
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
Bugku-WEB-writeup(持续学习中~)
devil_sad的博客
11-12 3353
滑稽 打开题目发现一堆笑脸怼脸 按F12直接查看网页源代码即可获得flag 计算器 打开之后发现需要计算并输入验证码,可只能输入一位数字 我们可以右键单击输入框审查元素把maxlength改成3,使得我们能在验证框输入三位数 输入验证码即可得到flag 或者我们也可以直接点击上文中红框中的"js/code.js"也可以直接查看flag POST 通过阅读代码得知$what=='flag'即可得到flag 可是我们直接在URL后输入无法得到flag,于是...
Bugku---web---bp
最新发布
weixin_47450099的博客
04-29 679
Bugku---web---bp 网络安全
BugKu——Web——bp
m_de_g的博客
09-01 1097
BugKu——Web——bp 一、解题思路 1.爆破密码 2.抓包 3.设置添加密码 4.添加字典top1000.txt 5.开始爆破 6.但是没有爆破出来 7.填坑经验,因为有一段JS过滤,所以密码输入进出以后会被过滤
BugKu WEB 刷题(bp
oTT_TTo的博客
07-21 1515
BugKu WEB 刷题(bp
BugKuWeb
paintShadow的博客
08-21 434
一、秋名山老司机 打开链接要求两秒之内计算出结果 明显跑脚本,代码如下: import requests import re url='http://123.206.87.240:8002/qiumingshan/' r = requests.session() requestpage = r.get(url) ans = re.findall('<div>(.*?)=?;</...
Bugku-web
qq_45987641的博客
12-25 175
bugku-web wp 13.打开网页也不知道是什么gui蹲西 点击测试网页,发现url 为:“http://your test ip/index.php?file=show.php”中参数有file选项,让我们联想到了文件包含漏洞。构造url=“http://your test ip/index.php?file=php://filter/read=convert.base64-encode/resource=index.php” , 网页返回base64 php://filter/read/conv
BugkuCTF-WEBbp
am_03的博客
08-24 581
查看题目的提示和描述 尝试输入admin,zxc111,失败 admin,zxc123,竟然成功登录界面 这题这么随便的吗? 真服! 也可进行爆破得到密码 flag{a03c860c57aca1c9697d8007f358cf1f}
bugku - Web
UP's blog
09-03 2389
刚刚入门CTF,如有错误,望大佬指教
Bugku——web
chongya927的博客
03-05 1503
菜鸟学习CTF之路
Bugku-Web(一)
weixin_44866139的博客
02-15 483
Web2 查看网页源代码 计算器 方法一:发现只能输入一个字符,修改源码 方法二: 该验证码并没有用表单验证,那该题是用什么验证机制呢? 之后查看js文件,发现了flag Web基础$_GET 题目给了很明显的提示 Web基础$_POST 由POST请求方法可知只要传递相应参数即可获得相应内容 方法一:hackbar 方法二:BurpSuite抓包 方法三:python的requ...
Matlab中MIC-BP-Adaboost特征选择与Adaboost-BP网络分类预测研究
资源摘要信息:"Matlab实现基于MIC-BP-Adaboost最大互信息系数数据特征选择算法结合Adaboost-BP神经网络的数据分类预测" 一、MATLAB编程与数据处理基础 1. MATLAB概述:MATLAB是一种高性能的数值计算和可视化环境,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值