CTFHUB-HTTP前置技能——基础认证

最新推荐文章于 2024-03-27 18:46:45 发布
最新推荐文章于 2024-03-27 18:46:45 发布
阅读量93 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49539962/article/details/131927792
版权

原题

 

工具

        burpsuit1.7。

解题思路

        下载并解压附件,里面是一个包含正确密码的字典。输入admin和随意的密码,抓包。密码是base64加密的。这里需要用到burpsuit的intruder功能。 

 

         把加密后的部分作为负载add,

         爆破需要添加用户名和密码。网上很多老哥写个简单脚本自己在密典里加用户名,其实在payload processing里可以完成这一步的,添加爆破规则base64也是在  payload processing里,在完成这两个预处理后,记得把url_encoding的勾取消,这会把“=”改了。      

 

 

         爆破成功会出现一个长度不一样的段,这个就是正确的,返回的状态码也是200,打开response就可以看到flag了

 

 

mysmartwish
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
微星为惠普代工的主板MS-7826前置USB3.0接线定义
01-29
微星为惠普代工的主板MS-7826,由于对前置USB3.0接口进行了特殊定义,导致与普通机箱的通用前置USB3.0接口无法匹配,使用U口时会出现异常。
斯凯达PGC-EX2000通用型跨平台SCADA系统资料——前置
03-20
斯凯达PGC-EX2000通用型跨平台SCADA系统资料——前置机.pdf 介绍了关于斯凯达PGC-EX2000通用型跨平台SCADA系统资料——前置机的详细说明,提供SCADA的技术资料的下载。
CTFHub-基础认证
Have_a_great_day的博客
09-06 723
CTFHub-基础认证之夺旗流程
CTFhub-基础认证
qq_43006864的博客
12-11 7609
一、首先,打开题目所给界面。这里他给了我们一个密码本。 这里提示我们。这儿是你的flag,还有一个可以点击的选项。 正常思路,我们会点击这个click交互键。 二、然后弹出来了一个登陆界面,这里老规矩,打开burpsuit,进行抓包。 这里跳过之前的抓包步骤,我们直接用burpsuit,到登陆界面。 然后进行一下测试,因为目前没有更多的思路,所以先随便输入用户名和密码,这里我输的是aa:aa。 然后进行抓包,发现了Authorization:后面有一串BASE64的编码 ..
CTFHUB-技能树-Web前置技能-基础认证、响应包源代码
最新发布
Static______的博客
03-27 555
桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 例如:当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码,这就是基础认证。启动题目后,开一把贪吃蛇游戏后,查看源代码即可,F12,在查看器中,也可以得到。再payload option中导入字典(点击载入),载入附件给的密码字典。
CTFHUB--基础认证
追风少年亚索的博客
12-02 532
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
ctfhub 基础认证
m0_63711447的博客
05-25 2489
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTFHub 基础认证
m0_52709104的博客
04-03 328
HTTP协议基本认证 大家看一下这篇文章会对HTTP基本认证有着更好的理解,也对下面的做题有帮助: https://blog.csdn.net/weixin_42461410/article/details/88420947 大家看一下这篇文章会对HTTP基本认证有着更好的理解: 打开题目: 下载附件会用到爆破,使用Burp抓包: 把Basic后面的数据点击添加 载入下载的字典 根据上面那篇文章:1.添加前缀作为用户名 admin:,2.进行Base64编码 3.记住把URL编码取消勾选 进行
电信设备-光源前置移动支付身份认证系统.zip
09-14
电信设备-光源前置移动支付身份认证系统.zip
行业分类-设备装置-地轮前置式高机动性宽幅农具机架平台.zip
08-24
行业分类-设备装置-地轮前置式高机动性宽幅农具机架平台.zip
行业分类-设备装置-具有前置轻快可观针槽的平脚顶针订书机.zip
09-08
行业分类-设备装置-具有前置轻快可观针槽的平脚顶针订书机.zip
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4563
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHUB-WEB基础认证
TA不懒,但还没有添加简介
11-20 3468
1
CTFHub-Web基础认证
weixin_45871855的博客
10-29 839
CTFHub中被搁置好久的题: 原地址 (1)打开链接 点击click得到一个输入框 “Do u know admin?”可知这个题的用户名大概率是”admin“ (2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法 我们可以用burp抓包,进行密码爆破 在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得 admin:19s45 可知这串字符是这个题的用户名和密码; (3)将它进行爆破 将数据发送到 Intruder 进行
CTFHub-web(基础认证)
分享与记录
03-26 8895
发现题目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。 Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码 Base64解码得到开始尝试输入的账号和密码 将报文发送到Intrude...
ctfhub-HTTP协议-基础认证
m0_62094846的博客
11-07 281
但抓不了包,但我看很多人wp都是可以的 只能在这个页面抓包了,再自己添加这一段 如果乱添加一通的话,会显示Douknowadmin,可能表示用户名是admin,字典上也只是给了密码,所以账号已知 Authorization:Basic是固定格式 后一段表示 用户名:密码 接下来爆破 下面的和之前的有些不一样,因为密码要编码成base64 添加前缀和编码方式 取消勾选,否则,=会被转为%3d (12条消息) Burp S...
CTFHub-web前置技能-基础认证
RedArvin的博客
10-04 543
根据要求尝试输入{用户名:admin; 密码:123456},由‘’Do u know admin"猜测用户名为admin,信息错误无响应 根据输入前后抓包结果差异,考虑” Authorization: Basic YWRtaW46MTIzNDU2”为输入内容,观察得“YWRtaW46MTIzNDU2”为4的倍数,猜测为base64编码 使用题目文档中“10_million_password_list_top_100”文件对密码进行爆破: 1.选中clear清除原有标记;选中Basic后字符串,点击
CTFHub-技能树-HTTP协议-基础认证
pakho_C的博客
02-20 2048
打开靶场 点击click 需要登录,下载题目给的附件解压得到一个密码字典文件 显然需要我们爆破密码 先点击click抓包观察返回包有无提示信息 那么猜测用户名为admin 这里的思路可能有点问题,没有找到爆破的地方,经过几次输入之后,查看burp的流量检测,找到一个登录失败的页面查看 这里像是base64加密后的字符,解密查看 正是我刚才输入的用户名和密码 结合刚才的字典,明显要进行爆破,并且要将字典中的数据进行base64加密,这样才能符合它的规则,发送到burp的intruder模块进行爆.
CTFHuB-http协议-基础认证
yuqie的博客
04-02 143
bp爆破弱口令,添加编码方式
ctfhub web技能树302跳转
07-28
- *1* *2* [2.CTFhub技能web前置技能 http协议 302跳转](https://blog.csdn.net/FFFFFFMVPhat/article/details/121342556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值