攻防世界-weak_auth

已于 2023-05-31 09:46:48 修改
阅读量309 收藏
点赞数 1
分类专栏: CTF靶场练习 文章标签: 网络安全
于 2023-05-30 21:45:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wmr123456001/article/details/130955783
版权
文章介绍了如何使用Burpsuite工具进行网络抓包,通过开启代理并在目标网页操作后,在Burp中分析抓到的包。接着,文章演示了利用Intruder模块进行密码破解,结合字典文件进行暴力破解,最终成功获取密码并登录获取flag。
摘要由CSDN通过智能技术生成

到这里就开始有一些难度了,但是大家不要泄气,想要做黑客最重要的是坚持。

一、Burp抓包

这一关需要用到一款叫Burpsuite的抓包软件,关于这个软件的下载大家可以自行搜一下,网上的教程很多,这里就不多介绍了。

刚进入环境是这样的:

注意看,在这里打开Burp的代理,先点Proxy,再点Open browser:

把这个环境的地址粘进去:

 

 (新人的福利啊,全网最细了)

 Target里面就有信息了:

二、密码破解

随便填点上去:

显示错了也没关系:

看看抓到的包:

在此处右键会有“Send to Intruder”选项(因为一些原因,截图截不下来):

单击以后在这里查看:

 

 选中password,然后点Add添加变量:

 

在这里设置一下,网上随便下载一个字典:

然后点这里:

 密码就出来了:

 再去登录页面登录一下,flag就出来了:

墨然师兄
关注
专栏目录
网络安全 | CTF】攻防世界 weak_auth 解题详析
等风来
05-21 5807
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
利用burp suite进行弱口令爆破 (攻防世界web weak_auth
Kni9hT's Blog
02-28 5164
终于刷到这种题了,做二进制的时候用过python爆破… 用burp suite跑字典还是第一次。 那就从这个简单的字典爆破开始吧。 利用工具: burp suite Blasting_dictionary-mastergithub字典 爆破环境: kali linux 正题开始 题目叫做weak_auth,翻译过来就是弱口令爆破 打开是一个登陆界面,username和password都使用a...
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 1977
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
攻防世界——weak_auth
weixin_73668856的博客
11-22 303
web新手
攻防世界——weak_auth(NO.GFSJ0482)
hhsjjsj的博客
09-11 443
接下来进入poloads,在payloads模块加入你自己的字典,,这里我是随便输入了一些,因为我已经做过了,知道密码是123456,所以这里只是演示一下。等待程序运行完成后,通过长度来对比出不同的项目,可以看出来123456的length值跟其他的不一样,因此我们可以试一试密码是否为123456。我们先随便输入一些内容,可以看见页面的弹窗,提示我们用admin登录,那我们知道账号了,接下来就可以直接爆破密码了。结合题目内容,可以判断出来这是弱口令类型的,那么我们只需要暴力破解就行。
攻防世界Web新手题 weak_auth
qq_52481261的博客
06-08 447
点击进入一个登陆界面,猜测是通过登录界面并获取Flag。尝试进行登陆操作并获得提示:请以admin进行登录,我们可以得到登录的用户名。首先点击clear,再选中密码部分并点击add,attack type不用改变,sniper就是针对单个爆破的情况。进入payload,点击load并选中password.txt,选择右上角start attack,开始爆破。既然用户名已经得到,就可以尝试获取密码,题目是弱认证,我们可以获取思路那就是通过字典爆破获取登陆密码。查看response即可看到FLag出现。
攻防世界web的weak_auth用yakit怎么做
最新发布
10-16
这通常涉及修改Yakity的规则集文件(例如`config/default.yml`),添加针对weak_auth的检查规则。 3. **扫描目标URL**:运行Yakity的命令行工具,指定你要测试的网站URL,让它自动检测弱认证漏洞: ```bash ...
攻防世界 web新手题 weak auth详解
qq1070926840的博客
11-14 1182
攻防世界 web weak_auth 奶妈详解 本人小白,刚刚步入ctf的世界,借这个平台写点东西来提升自己水平,咳咳有啥缺陷还请大佬指正。哈哈哈,我甚至连博客编辑都没搞明白。废话不多就上题吧。 当然,首先看到题目可以知道本体与弱密码相关。 啊哈哈哈哈!这题估计也为了教育教育我们网络安全意识吧,毕竟弱密码在生活中还是非常常见的。为了省事设个弱密码,或者是和我们生活相关的容易被猜到的密码。比如123456,666666,或者名字拼音和生日,都是极其容
攻防世界weak_auth(web简单)
my_name_is_sy的博客
05-26 1462
题目 : 小宁写了一个登陆验证页面,随手就设了一个密码。 打开后看到是一个登录界面,那么就抓包吧,看看能发现什么。 这里如果随便输入一个用户名的话会提示用户名为“admin”,此处不在赘述。 这里记得设置代理。设置了代理才好抓包。至于抓包工具我是用的是burp,还是很方便的。 如上图,将抓到的包发给测试器, 先清除所有标记,然后选中密码处,点击添加。攻击类型直接选第一个就行,不用改。 负载数因为上面只选了一个密码,所以这里选择1。 载荷类型可以选择简单清单。 选择载入自己的字典。(他给的密码字典.
CTF-WEB篇 攻防世界题目实战解析weak_auth
2301_76565920的博客
04-20 1774
题目:weak_auth(弱认证) 难度:1
攻防世界-web】weak_auth
weixin_73625393的博客
10-30 405
l选项支持@,%^;解释:生成4个字符形式的字典,选用字符集mixalphanumeric-all-space,输出文件名为w.txt,满足【小写字母+d+小写字母+小写字母】的样式,起始字典为cdab。crunch 4 4 -t @,%^ -o 1.txt -z 7z # 生成四位数的字典,满足【小写字母+大写字母+数字+符号】的形式,输出文件名为1.txt,压缩成7z格式。crunch 6 6 -t @,%%^^# # 生成6位数的字典,满足【小写字母+大写字母+数字+数字+符号+符号】的形式。
攻防世界weak_auth
人若无名,便可专心练剑
03-15 104
weak_auth
攻防世界11weak_auth
weixin_49765221的博客
04-17 678
爆破的使用
攻防世界 web weak_auth
Emjl__的博客
05-09 347
打开题目,发现一个拥有账号密码的登录验证界面。 没有任何提示,那我们就只能先对它进行爆破。 使用burpsuite对其进行抓包
bp字典爆破——攻防世界weak_auth
热门推荐
AmrYu的博客
11-27 1万+
使用burpsuite跑字典——weak_auth 来到这个题目界面,我们在这里先随便输入一个username和password然后点击登录: 当我随便输入一个username和password之后,弹出弹窗提示“please login as admin”。密码我们暂时不知道,不过看这个弹窗的意思username应该是填admin了。 当得到这个用户名之后,我们就可以使用bp这个软件来进行字典的爆破了。首先第一步就是 抓包 我们要抓的包:当输入用户名和密码之后,点击登录之后的包,在你抓到的包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值