CTF学习记录007-HTTP基础认证

最新推荐文章于 2023-10-02 01:13:42 发布
最新推荐文章于 2023-10-02 01:13:42 发布
阅读量247 收藏 1
点赞数
文章标签: 学习 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wupeng_ccab/article/details/132941313
版权

题目:HTTP基础认证

点击click 弹出 输入用户名和密码的对话框,要求输入正确的用户名和密码得到flag。

解体思路:

用Burp抓包,习惯性输入用户名admin,不输入密码,查看发送包内容。

查看回应包内容:

发送包中包含 Authorization: Basic YWRtaW46,回应包中有提示WWW-Authenticate: Basic realm="Do u know admin ?",猜测用户名应该是admin。根据发送包Authorization内容可知,是经过Basic64编码,解码YWRtaW46,对应明文是admin:    那么认证的格式应该是 用户名:密码的形式,而且要进行Basic64编码后发送。

使用Burp的Intruder模块尝试进行密码破解,因为发送报文中只有密码一个变量参数需要破解,形式为 admin:password  在密码为空的情况下,admin:使用Basic64编码后是  YWRtaW46  ,在Intruder模块 的 位置处 修改Authorization值为 Authorization: Basic YWRtaW46§§  。有效载荷内容如下图:

使用简单清单及常用密码字典,因为发送是经过Basic64编码后的信息,所以在有效负载处理中增加编码规则,有效载荷编码这里去除URL编码,要不然发送的认证信息这里都是明文(类似 123456,adfas)。

设置好以后,进行破解,结果如下图。

发送的有效载荷密码都是经Basic64编码后的值,找到长度不一样的那条数据,查看回应报文,得到flag。

我查看之前破解这个题目的思路,是把Authorization的值作为一个整体带入有效载荷中,比如

admin:123456  编码后是YWRtaW46MTIzNDU2,Authorization的值是

Authorization:Basic  YWRtaW46MTIzNDU2

这需要在Burp中有位置设置成 Authorization: Basic §YWRtaW46MTIzNDU2§

有效负载处理中添加前缀 YWRtaW46,如下图

我想着用最直接简单的办法,去掉了了前缀,发送报文中保留了确定的   admin:   编码后的内容Authorization: Basic YWRtaW46§§   此时带入的密码为空。再把密码字典中的内容转换成Basic64编码后,发送请求报文。

wupeng_ccab
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTFCTFHub------web-HTTP协议-基础认证
从零开始的网安生活
07-22 661
** 基础认证 ** 1.复制链接到搜狐打开,注意下载附件 2.特征的发现 用户名:admin 随意试密码:123456和 密码:admin 分别捕获 观察发现字段前一半没有变化,后一段跟随密码变化,说明 admin和password分开加密 3.发现字段为16位 ①放入Decoder ②选择decode as ③选择Base64 解密 发现编码方式为Base 64 4.放入intruder进行爆破 ①clear(将默认的爆破点清除)②选中爆破内容 ③add(标记爆破内容) 5.Paylo
实验四 /*CTF实践*/
Tauil的博客
01-07 355
目的:获取靶机Web Developer 文件/root/flag.txt中flag。 基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。 实施细节如下: 1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。 nmap.
vulnhub之tre1
weixin_54431413的博客
07-07 689
主要介绍突破边界的方法,已知漏洞的利用,Authorization:Basic YWRtaW46YWRtaW4=数据包头部登录验证,进阶目录爆破,以及通过shell脚本来提权。
CTFHub-web(基础认证)
分享与记录
03-26 8915
发现题目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力破解。 Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码 Base64解码得到开始尝试输入的账号和密码 将报文发送到Intrude...
HTTP basic 认证
kejiazhw的专栏
08-28 1637
为了确保资源的非法访问,HTTP采用两种认证方式,一种为basic,另外一种为digest(摘要认证)。 basic是最基本也是最简单的一种认证方式。认证的过程大概可分为以下几个步骤: 1. 用户请求受保护的资源,例如: GET http://192.168.2.1/ HTTP/1.1 Accept: text/html, application/xhtml+xml, */* A
CTFHUB http协议题目 学习笔记 详细步骤 请求方式 302跳转 cookie 基础认证 响应源代码
bailuy的博客
08-23 1408
CTFHUB 学习笔记 详细步骤WEB-HTTP协议1-请求方式2-302跳转3.cookie5.响应包源代码合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 WEB-HTTP协议 1-请求方式 从这些英文提示中可以看到,这个题是让我们用
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,... 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: ... 其他说明: ...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF-RSA-tool-master.zip
01-19
针对CTF中CRYPTO的RSA工具
CTF学习第五站——CTF技能树Web前置技能HTTP协议之基础认证
qq_41174589的博客
10-02 279
2.阅读后发现,第十行Authorization为授权,basic后应为用户名和密码的密文,我们利用Burp中的编码工具对其解码。注意:先打开代理,再点击click,然后在burp中代理界面点击放行,才能抓到这个界面的包如下。3.此时我们用题目所提供的附件(弱口令字典)和burp中的intruder对其进行爆破。1.利用Burp在如下界面抓包,其中用户名和密码为随意输入,在此我均采用123。尝试后发现编码方式为base 64 ,格式为用户名:密码。4.在结果中我们可以发现两种不同的状态码,
关于 RESTFUL API 常用认证方式
shrek11的专栏
11-17 2399
1,HTTP Basic Basic admin:admin  Basic YWRtaW46YWRtaW4=  Authorization: Basic YWRtaW46YWRtaW4=  由于HTTP协议是无状态的,所有每次请求都得带上身份信息,基于Http basic验证就是简单的将用户名和密码base64编码放到header中,一般需要HTTPS,安全性较低,实现的方式可以基于代码实现也可...
XCITC-WEB-飞机头等舱-Basic Authorization 认证方法
Home to come
04-17 419
HTTP中,Basic Authorization基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。例如,提供的用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame,然后再将其用Bas...
爬虫案例之请求头参数加密
Jesse_Kyrie的博客
11-08 572
爬虫分析请求时,不能忽略请求头中的字段,很多很多情况下,可能请求头参数是加密的,或者是一个固定值,在发送请求时,需要带上。
CTFHUB--基础认证
追风少年亚索的博客
12-02 537
HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
ctfhub 基础认证
m0_63711447的博客
05-25 2556
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 4613
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTF-Web21(爆破)
weixin_47059164的博客
08-25 111
知识点:考点tomcat 认证爆破之custom iterator的使用,下载密码字典抓包,通过burpsuite暴力破解,可以参考。ctfshow21 请求头中的authorization是指在HTTP请求中携带的身份验证信息,用于验证请求的合法性和权限。
ctfhub技能树web基础认证
最新发布
03-13
CTFHub是一个CTF(Capture The Flag)竞赛平台,提供了丰富的技能树来帮助学习者提升Web基础认证的能力。下面是CTFHub技能树中关于Web基础认证的内容: 1. HTTP协议:了解HTTP协议的基本原理和常见的请求方法(GET...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值