CTF学习记录007-HTTP基础认证

最新推荐文章于 2023-10-02 01:13:42 发布
最新推荐文章于 2023-10-02 01:13:42 发布
阅读量261 收藏 1
点赞数
文章标签: 学习 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wupeng_ccab/article/details/132941313
版权

题目:HTTP基础认证

点击click 弹出 输入用户名和密码的对话框,要求输入正确的用户名和密码得到flag。

解体思路:

用Burp抓包,习惯性输入用户名admin,不输入密码,查看发送包内容。

查看回应包内容:

发送包中包含 Authorization: Basic YWRtaW46,回应包中有提示WWW-Authenticate: Basic realm="Do u know admin ?",猜测用户名应该是admin。根据发送包Authorization内容可知,是经过Basic64编码,解码YWRtaW46,对应明文是admin:    那么认证的格式应该是 用户名:密码的形式,而且要进行Basic64编码后发送。

使用Burp的Intruder模块尝试进行密码破解,因为发送报文中只有密码一个变量参数需要破解,形式为 admin:password  在密码为空的情况下,admin:使用Basic64编码后是  YWRtaW46  ,在Intruder模块 的 位置处 修改Authorization值为 Authorization: Basic YWRtaW46§§  。有效载荷内容如下图:

使用简单清单及常用密码字典,因为发送是经过Basic64编码后的信息,所以在有效负载处理中增加编码规则,有效载荷编码这里去除URL编码,要不然发送的认证信息这里都是明文(类似 123456,adfas)。

设置好以后,进行破解,结果如下图。

发送的有效载荷密码都是经Basic64编码后的值,找到长度不一样的那条数据,查看回应报文,得到flag。

我查看之前破解这个题目的思路,是把Authorization的值作为一个整体带入有效载荷中,比如

admin:123456  编码后是YWRtaW46MTIzNDU2,Authorization的值是

Authorization:Basic  YWRtaW46MTIzNDU2

这需要在Burp中有位置设置成 Authorization: Basic §YWRtaW46MTIzNDU2§

有效负载处理中添加前缀 YWRtaW46,如下图

我想着用最直接简单的办法,去掉了了前缀,发送报文中保留了确定的   admin:   编码后的内容Authorization: Basic YWRtaW46§§   此时带入的密码为空。再把密码字典中的内容转换成Basic64编码后,发送请求报文。

wupeng_ccab
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTFCTFHub------web-HTTP协议-基础认证
从零开始的网安生活
07-22 666
** 基础认证 ** 1.复制链接到搜狐打开,注意下载附件 2.特征的发现 用户名:admin 随意试密码:123456和 密码:admin 分别捕获 观察发现字段前一半没有变化,后一段跟随密码变化,说明 admin和password分开加密 3.发现字段为16位 ①放入Decoder ②选择decode as ③选择Base64 解密 发现编码方式为Base 64 4.放入intruder进行爆破 ①clear(将默认的爆破点清除)②选中爆破内容 ③add(标记爆破内容) 5.Paylo
ctf-all-in-one
01-30
ctf-all-in-one
CTF学习第五站——CTF技能树Web前置技能HTTP协议之基础认证
qq_41174589的博客
10-02 290
2.阅读后发现,第十行Authorization为授权,basic后应为用户名和密码的密文,我们利用Burp中的编码工具对其解码。注意:先打开代理,再点击click,然后在burp中代理界面点击放行,才能抓到这个界面的包如下。3.此时我们用题目所提供的附件(弱口令字典)和burp中的intruder对其进行爆破。1.利用Burp在如下界面抓包,其中用户名和密码为随意输入,在此我均采用123。尝试后发现编码方式为base 64 ,格式为用户名:密码。4.在结果中我们可以发现两种不同的状态码,
CTFHUB--基础认证
追风少年亚索的博客
12-02 539
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
CTFHUB http协议题目 学习笔记 详细步骤 请求方式 302跳转 cookie 基础认证 响应源代码
bailuy的博客
08-23 1412
CTFHUB 学习笔记 详细步骤WEB-HTTP协议1-请求方式2-302跳转3.cookie5.响应包源代码合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 WEB-HTTP协议 1-请求方式 从这些英文提示中可以看到,这个题是让我们用
ctfhub 基础认证
m0_63711447的博客
05-25 2600
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,... 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: ... 其他说明: ...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4658
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
kong笔记——kong的权限认证插件选择参考
罗伯特是疯子丶
02-25 2694
kong可提供的权限认证场景 Basic auth 基本介绍 基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和密码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上密码,并将得出的结果字符串再用Base64算法编码。 eg: 提供的用户名是:admin 口令是:123456 拼接后的结果是:admin:123456,然后再将其用Base64编码的字符串为:YWRtaW46MTIzNDU2 最终将Base64编码的字符
【未授权访问】我就这么容易被曝光了吗?
kimol君的博客
08-06 2万+
【未授权访问】我怎么被监控了?前言一、洞穿一切1.获取用户名2.下载摄像头配置文件3.获取监控快照二、Fofa无边三、双管齐下1.爬取设备信息2.自动化检测写在最后 前言 时光转瞬,上一篇文章的时间定格在了半年前的情人节。由于各种原因,已经好久没有更新文章了,承蒙大家的喜爱,陆续收到了许多小伙伴的“催更”。有一说一:“心里是暖的❤️”。 愿今后自己可以不忘初心,继续前行,将心中的一些想法,一些感受,一些技巧,一些故事与大家分享。 恰巧前不久看到某康威视网络摄像头存在漏洞,于是,作为对万物充满好奇的少年,
网络-NSURLSession应用和原理
梦浮生清月夜
03-05 4625
网络-NSURLSession1. 简介NSRULConnection使用runloop来达到异步下载的,原理:Runloop保证重要的任务流畅执行; 分配固定时隙,实现单一线程异步; connection 应用了runloop ,苹果不推荐使用底层设计理念,所以用封装更好NSURLSession;NSURLSession 提供了配置会话缓存,协议,cookie和证书能力,这使得网络架构
CTFHUB Web前置技能 题解记录HTTP部分)
豆傻小饼干随记
03-19 4267
Web前置技能 一、HTTP协议 1、基础认证HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供`用户名` 和`密码`的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 直接上脚本 #!/usr/bin/python # -*- ...
[转]www-authenticate认证过程浅析
热门推荐
maoliran的博客
07-06 2万+
一、www-authenticate简介www-authenticate是早期的一种简单的,有效的用户身份认证技术。 很多网站验证都采用这种简单的验证方式来完成对客户端请求的数据的合法性进行验证。尤其在嵌入式领域中,此方法使用较多。 缺点:这种认证方式在传输过程中是明码传输的,采用的用户名密码加密方式为BASE-64,其解码过程非常简单,网络上很容易搜索到编解码的源码。采用这种认证方式对于普通用
CTFHub Web前置技能 HTTP协议基础认证
qq_46222050的博客
08-21 554
HTTP基础认证 我们打开题目,点击跳转发现需要用户名和密码,根据提示“Do you know admin?”,我们猜测用户名为admin。题目给的附件解压完事字典,很明显这道题目要使用爆破。 我们挂上代理ip,打开burp suite抓包,随便输入一个密码然后截取.我们发现BasicBasic 表示“基础认证”.使用解码器解码为admin:123,就是我们输入的用户名与密码. 我们右键发送到测试器,添加$。 有效载荷集为1,有效载荷类型为自动迭代器,载入给你的字典. 有效负载处理里面添加前缀
CTFHub-Web基础认证
weixin_45871855的博客
10-29 852
CTFHub中被搁置好久的题: 原地址 (1)打开链接 点击click得到一个输入框 “Do u know admin?”可知这个题的用户名大概率是”admin“ (2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法 我们可以用burp抓包,进行密码爆破 在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得 admin:19s45 可知这串字符是这个题的用户名和密码; (3)将它进行爆破 将数据发送到 Intruder 进行
CTF竞赛中的奇葩注册方式
syh_486_007的专栏
03-03 3400
最近看了来看ctftime中的比赛,看到ictf比赛,就索性点进去看看,发现,我XXXX,竟然用Python写了写了一个注册client端,需要用程序注册,现将源码更新如下,以后我们国内比赛说不定也可以参考一下: # # The iCTF game client. # # Written by subwire and the iCTF team, 2015 #
ctfhub技能树web基础认证
最新发布
03-13
CTFHub是一个CTF(Capture The Flag)竞赛平台,提供了丰富的技能树来帮助学习者提升Web基础认证的能力。下面是CTFHub技能树中关于Web基础认证的内容: 1. HTTP协议:了解HTTP协议的基本原理和常见的请求方法(GET、POST等),了解HTTP请求和响应的结构。 2. URL编码和解码:学习URL编码和解码的原理和常见的编码方式,如URL编码中的%20代表空格。 3. Cookies:了解Cookies的作用和原理,学习如何使用Cookies进行用户认证和状态管理。 4. Session管理:学习Session的概念和原理,了解如何使用Session进行用户认证和状态管理。 5. 基本认证Basic Authentication):学习基本认证的原理和流程,了解如何使用用户名和密码进行认证。 6. 表单认证(Form-based Authentication):学习表单认证的原理和流程,了解如何使用表单提交用户名和密码进行认证。 7. Token认证学习Token认证的原理和流程,了解如何使用Token进行用户认证和状态管理。 8. CSRF攻击与防御:学习CSRF(Cross-Site Request Forgery)攻击的原理和常见的防御措施9. XSS攻击与防御:学习XSS(Cross-Site Scripting)攻击的原理和常见的防御措施10. SQL注入攻击与防御:学习SQL注入攻击的原理和常见的防御措施。 以上是CTFHub技能树中关于Web基础认证的内容,通过学习这些知识,你可以提升自己在Web安全领域的认证技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值