BugKuCTF_社工-初步收集

最新推荐文章于 2024-05-11 02:11:37 发布
最新推荐文章于 2024-05-11 02:11:37 发布
阅读量1k 收藏
点赞数 1
分类专栏: ctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47443077/article/details/117447484
版权
社工-初步收集

打开环境后,先bp抓包,检查也没有得到有用的信息。目录扫描试试找后台

image-20210531160215912

找到该后台,发现需要用户名和密码。先别急,找找其他有用信息

image-20210531160147400

在该网页主页发现点击辅助购买这个选项会出现这个界面,点击下载辅助会下载一个压缩包

image-20210531172109605

安装后想试试用Wireshark抓包

不知道能不能得到些什么。。。

image-20210531172614314

抓包开始后随便填写个QQ号和密码,连续点击“开始”,会出现“哈哈,小别致你被骗了”这个弹框,这。。。就可以暂停

image-20210531173000092

仔细观察抓到的包,会发现疑似发包的邮箱和Base64加密的Pass

image-20210531173328676

解码成功!!!但就是不太像登录密码,有点长

image-20210531173713476

但是挺像授权码的,打开Foxmail登录,成功!

image-20210531181535352

查看收件箱,按“主题”排序后,找到一封有可利用信息的邮件

可以看到发件人为Mara

发件时间是2021年,现在20岁,可以判断在2001年出生

又说是前两天过生日,可以判断生日为2月6号

image-20210531174014354

尝试登陆一下

image-20210531174446674

登陆成功,得到flag!!!

image-20210531174526227

独角授
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku-writeup-web-社工-初步收集
dark的博客
06-18 683
题目:社工-ch
bugku 社工-初步收集
plant1234的博客
06-09 1475
社工-初步收集: 首先根据题目启动环境: 根据题目提示下载刷钻软件: 于是就扫描了一下目录发现管理员登录入口: 需要密码,又想到刷钻软件,于是就用wireshark抓包得到: 得到用户名和密码,用base64解码得到: 发现这是163邮箱的授权登录密码,于是下载Foxmail登录, 发现有用信息: 得到管理员的名称,生日,邮箱,利用社会工程学字典生成字典: 在进行爆破得到: 得到密码,然后登录得到flag: ...
2024年最全CTF BugKu平台—(Web篇①)_ctf bugku web(1),金三银四我带你去BAT面试现场
最新发布
2401_84281698的博客
05-11 674
白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。弱密码top1000?是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
Bugku-社工-初步收集
m0_46736332的博客
05-04 1万+
Bugku-社工-初步收集 虽说是初步,对于一个我这给ctf新手来说还是挺绕的 启动场景 本能反应,先扫路径。 扫路径的同时,先抓包,f12啥的看看(因为ctf经常出现这种玩法) 抓包,f12等没有任何发现 这是扫出了敏感路径 访问 下一步就是获取账号名和密码了,先一波抓包,f12试试运气,修改包绕过失败,爆破失败,看来是要老老实实找账号密码了 在提供的靶场中除了提供一个下载连接,什么都没有,下载下来看看 先想到的是逆向,无奈不会,登录一下试试 本能抓包,这里使用 wireshark ..
BugKu-CTF(web篇)---社工-初步收集
Nailaoyyds的博客
03-07 1124
思路: 第一个思路就是先扫子目录,寻找出有效的敏感文件。 扫完子目录以后也没有什么有效信息,纯粹浪费时间, 发现有一个登陆框,各种手段爆破不出来,这时候就要换思路了 首页有下载链接,下载一下 是一个小插件 用wireshark抓包分析一下,在流量里边获取用户名和密码以及一个邮箱 密码后边两个等号==,一眼就知道是base64,去做解密 XSLROCPMNWWZQDZL 邮箱+用户+密码 提示很明显了 去试下邮箱登录 也不对。邮箱登录的方式,主流...
Bugku 社工——初步收集
qq_52696970的博客
07-18 894
社工——初步收集 启动场景后可以看到有下载辅助的选择,点击即可下载一个登录器 看了一下网页源码没发现就用burpsuit抓包也没有任何发现,然后就用御剑扫路径,发现一个登录网站,接下来就是找到这个网站的密码登录 先随便输入账号密码再对这个网站抓包,看看源代码,尝试暴力破解: 1.右击请求头文件,选择send to intruder: 2.进入intruder下target栏目,根据被攻击网站来设置host和port,但是因为跳出的是弹窗的原因抓包无法抓到密码和用户所以不考虑暴力破解。 换一种思路,打开刚才
孤情社工库_30.0-1.zip
08-03
这个“孤情社工库”可能是用于教育、研究或者安全测试的目的,收集了各种社会工程学相关的数据和策略。 【描述】中提到的"孤情社工库_30.0-1.zip"没有提供额外的具体信息,但从文件名推测,这个zip压缩包包含的"孤...
shegong.rar_社工
09-14
在这个案例中,“社工”可能指的是收集、分析和利用公开信息来实施安全调查或者安全测试。 描述中提到“社工是时可以用得到,直接查询了几个网站的信息,已获取数据”,这暗示了这个压缩包可能包含一个用于社会工程...
社工、CTF等常用字典-字典.zip
08-13
社工、CTF等常用字典-字典.zip
2023-TG免费社工机器人大合集
07-20
1. **信息收集**:机器人可以自动搜索公开信息源,如社交媒体、论坛、博客等,搜集目标人物的个人信息,包括生日、爱好、工作经历等,这些信息可能成为密码重置问题的答案或社交工程攻击的切入点。 2. **电子邮件...
霜麟_社工库13E身份信息.exe
10-27
霜麟_社工库13E身份信息.exe
BugKu——Web——社工-初步收集
m_de_g的博客
08-31 2047
BugKu——Web——社工-初步收集 一、解题思路 这里可以下载辅助,下载下来的是一个压缩包,不过会被当做病毒处理,设置成信任的即可,解压出来是个*.exe双击启动即可 随便输一个QQ和密码 回显都是哈哈,小别致你被骗了 这里的话,设计一个知识点就是遇到这种开挂的软件或者别的软件时,我们可以查看流量的走向,这里就需要使用工具——wireshark就行抓流量包进行分析 因为这里我使用的是WiFi,所以设置的是WLAN 设置好之后,开始启动,刚才的*.exe文件进行运行,就可以抓到流量 可以看到用户
ctf Bugku-社工-初步搜集
Oranges.的博客
10-18 689
bugku -社工-初步搜集 新手一枚,参考了网上信息完成 这里是网站主页,查看源码什么都没有发现,进行敏感路径扫描 这里使用的是dirsearch进行扫描,这里扫描到了登录, 打开网页出现登录界面,尝试admin登录,发现失败了,这是,原网站只提供了一个下载连接,下载下来,是一个exe文件。 打开后为下面界面: 我们输入账号密码进行测试,没有信息,进行抓包测试,我利用的是wireshark,发现了user,pass和一个邮箱 对pass进行解码 得到后我们在登录界面输入账号密码进行测试,显示
Bugku,Web:社工-初步收集
Pai_Space
01-14 2775
bugkuku@163.com 试试登录之前扫描的页面,错误,回头看这个账号是邮箱 Bugku-社工-初步收集_m0_46736332的博客-CSDN博客_bugku社工初步收集 在邮箱知道信息后,猜账号为 Mara,密码为 20010206 不正确,账号改为 mara,登录成功 找到 flag ...
BUGKU web 社工-初步收集
qq_75120258的博客
09-27 143
其实是杂项,勉强算社工吧。来自当年实战
bugku-web-社工-初步收集
m0_57954651的博客
11-16 910
得到了类似用户名和口令的base64加密代码 拿去解密。尝试登录 同时 打开wireshark进行流量截取。下载得到一个压缩包 解压打开 是一个小插件。再起始页面 存在一下下载点 可以操作。打开 wireshark 选择WLAN内容。smtp过滤 查看它的电子邮件流量数据。小时候特感兴趣的网站 目录扫描一下。社工又有杂项的存在 打开题目。搜寻邮件 拿到真实用户名和密码。得到一个管理员后台登录网站。进入 拿到flag。
BugKu-web篇-社工-初步收集
jiuyongpinyin的博客
05-29 739
社工-初步收集 这道题我这种菜鸡是不可能会的,直接附上大佬的链接 https://blog.csdn.net/m0_46736332/article/details/116399471 首先先把辅助工具的客户端下载下来 随便尝试一个用户面,发现没什么用,参考大神得链接,发现需要抓包 base64解码把pass解出来 然后得到一个授权码,授权码并不是密码,通过qq邮箱可以登录,登录进去后,可以看到这样一封邮件 通过邮件内容推断,mara的生日是2001年2月6日 通过dirsearch扫描获得网
bugkuCTF——社工
热门推荐
灬彬的博客
07-31 1万+
1、密码                                                        分析:这个是典型的弱口令,猜了一下,KEY是姓名+生日, KEY{zs19970315}   2、信息查找                                           分析:直接百度bugku群号码,    得出 KEY{462713425...
Bugku-CTF社工篇之简单的个人信息收集
weixin_30593443的博客
08-14 649
简单的个人信息收集 解题要点:压缩包伪加密、社工库查询 下载压缩包 发现有密码 先放到winhex里面看看 是个伪加密压缩包 将最后的09改为00(奇数表示加密,偶数表示未加密) 这里扩充一下压缩包伪加密的知识 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x04034b50) 14...
007-CTF web题型总结-第七课 CTF WEB实战练习(三).pdf
07-09
"007-CTF web题型总结-第七课 CTF WEB实战练习(三)主要涵盖了CTF网络安全竞赛中的Web挑战,包括入门的三个部分:基础题型、社工篇和高级篇。这份资料旨在通过实际操作和解题过程,帮助学习者熟悉CTF比赛中的常见技巧...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值