【网络安全 | CTF】攻防世界 weak_auth 解题详析

已于 2024-05-31 09:46:42 修改
阅读量8k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: web安全 CTF 网络安全
于 2023-05-21 09:44:05 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/130788810
本文详细分析了攻防世界中的weak_auth题目,通过观察登录失败的回显和源代码,提示使用字典进行爆破。利用Burp Suite进行爆破,通过设置Payload和字典,成功获取到flag。

文章目录


题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。

在这里插入图片描述

正文

用户名1,密码1,回显如下:
在这里插入图片描述

提示使用用户名admin登录

用户名admin,密码1进行登录

回显如下:

在这里插入图片描述

正常来说,登录失败时会重定向至Login页面,而该页面没有重定向到登录界面

查看页面源代码:

在这里插入图片描述

提示使用字典<

了解本专栏 订阅专栏 解锁全文 超级会员免费看
[CTF&攻防世界&Web]weak_auth
Sakura&Blog
10-07 245
Web安全挑战:弱口令爆破实战》 本文记录了一个CTF题目"weak_auth"的完整解题过程。通过初步分发现目标网站存在弱口令漏洞,尝试使用admin账号登录失败后,利用Burp Suite工具进行爆破攻击。关键步骤包括:抓取登录包、设置payload字典、配置匹配规则检测回显信息。最终爆破出密码"123456",成功获取flag。该案例展示了弱口令漏洞的危害性,强调了强密码策略的重要性,同时也演示了Web安全测试中爆破攻击的基本流程和方法。
信安入门(2)
Z_blog
01-31 1290
ctf web题 小宁写了一个登陆验证页面,随手就设了一个密码。 weak auth 首先随便输入用户名和密码 得知用户名为admin,然后我数入密码admin 然后就想到爆破,然后就去搜了下弱密码爆破,发现用户两边的符号要去除 发现123456长度不一样,然后输入123456得到flag X老师告诉小宁其实xff和referer是可以伪造的。 index 首先我搜xff和referer是什么 ...
攻防世界weak_auth流程
m0_60642470的博客
07-10 404
弱密码:弱密码是指容易被猜测或破解的密码,通常因为其简单性或预测性。使用弱密码可能导致账号被盗用、数据泄露或其他安全问题。
攻防世界-Web-练习区12题解
TY_JUST的博客
04-28 6099
攻防世界-Web-新手区 一、view_source 题目描述: X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解决思路: 打开F12,查看网页源代码 拿到flag cyberpeace{486c0bb86e85a7a04bf3675de3d9357c} 二、get_post 题目描述: X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗? 解决过程: 打开后发现:请用GET方式提交一个名为a,值为1的变量 在路径后添加 ?a=1,发现又有新的问题:
CTF-WEB攻防世界题目实战解weak_auth
2301_76565920的博客
04-20 3163
题目:weak_auth(弱认证) 难度:1
攻防世界-weak_auth
HEAVEN569的博客
03-14 1156
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。 weak_auth:弱认证,就是弱密码,可以通过爆破方式得到密码 1.随便输入一个账号和一个密码 2.发现提示账号是admin,密码不知道,可以通过爆破得到。 所以只需要爆破密码,不需要爆破账号,简单很多 3.开启代理抓包,使用burp suit爆破,发送到爆破模块(send to intruder) 4.进入intruder模块,只添加一个爆破点,就是密码的位置 5.添加密码字典在里面,最后开...
[CTF/网络安全] 攻防世界 weak_auth 解题
Hacker_Nightrain的博客
01-03 583
本题结合Burp Suite爆破姿势考察弱认证绕过,读者可躬身实践。
攻防世界——weak_auth
weixin_73668856的博客
11-22 373
web新手
攻防世界——weak_auth(NO.GFSJ0482)
hhsjjsj的博客
09-11 1424
接下来进入poloads,在payloads模块加入你自己的字典,,这里我是随便输入了一些,因为我已经做过了,知道密码是123456,所以这里只是演示一下。等待程序运行完成后,通过长度来对比出不同的项目,可以看出来123456的length值跟其他的不一样,因此我们可以试一试密码是否为123456。我们先随便输入一些内容,可以看见页面的弹窗,提示我们用admin登录,那我们知道账号了,接下来就可以直接爆破密码了。结合题目内容,可以判断出来这是弱口令类型的,那么我们只需要暴力破解就行。
攻防世界weak_authweb简单)
my_name_is_sy的博客
05-26 2595
题目 : 小宁写了一个登陆验证页面,随手就设了一个密码。 打开后看到是一个登录界面,那么就抓包吧,看看能发现什么。 这里如果随便输入一个用户名的话会提示用户名为“admin”,此处不在赘述。 这里记得设置代理。设置了代理才好抓包。至于抓包工具我是用的是burp,还是很方便的。 如上图,将抓到的包发给测试器, 先清除所有标记,然后选中密码处,点击添加。攻击类型直接选第一个就行,不用改。 负载数因为上面只选了一个密码,所以这里选择1。 载荷类型可以选择简单清单。 选择载入自己的字典。(他给的密码字典.
攻防世界-webweak_auth
weixin_73625393的博客
10-30 641
l选项支持@,%^;解释:生成4个字符形式的字典,选用字符集mixalphanumeric-all-space,输出文件名为w.txt,满足【小写字母+d+小写字母+小写字母】的样式,起始字典为cdab。crunch 4 4 -t @,%^ -o 1.txt -z 7z # 生成四位数的字典,满足【小写字母+大写字母+数字+符号】的形式,输出文件名为1.txt,压缩成7z格式。crunch 6 6 -t @,%%^^# # 生成6位数的字典,满足【小写字母+大写字母+数字+数字+符号+符号】的形式。
2024.12.4——攻防世界weak_auth
2402_87387800的博客
12-04 451
知识点知识点。
攻防世界Web新手题 weak_auth
qq_52481261的博客
06-08 704
点击进入一个登陆界面,猜测是通过登录界面并获取Flag。尝试进行登陆操作并获得提示:请以admin进行登录,我们可以得到登录的用户名。首先点击clear,再选中密码部分并点击add,attack type不用改变,sniper就是针对单个爆破的情况。进入payload,点击load并选中password.txt,选择右上角start attack,开始爆破。既然用户名已经得到,就可以尝试获取密码,题目是弱认证,我们可以获取思路那就是通过字典爆破获取登陆密码。查看response即可看到FLag出现。
攻防世界weak_auth知识
m0_74047686的博客
03-18 2156
一、在CTFWeb题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分算法的特点来判断密码爆破类型。
bp字典爆破——攻防世界weak_auth
热门推荐
AmrYu的博客
11-27 1万+
使用burpsuite跑字典——weak_auth 来到这个题目界面,我们在这里先随便输入一个username和password然后点击登录: 当我随便输入一个username和password之后,弹出弹窗提示“please login as admin”。密码我们暂时不知道,不过看这个弹窗的意思username应该是填admin了。 当得到这个用户名之后,我们就可以使用bp这个软件来进行字典的爆破了。首先第一步就是 抓包 我们要抓的包:当输入用户名和密码之后,点击登录之后的包,在你抓到的包
攻防世界11weak_auth
weixin_49765221的博客
04-17 900
爆破的使用
攻防世界weak_auth
最新发布
02-26
弱认证机制是常见的网络安全漏洞之一,在许多CTF(夺旗竞赛)平台和网络安全练习环境中都有所涉及。这类问题通常源于开发者未能充分验证用户身份,从而允许攻击者绕过正常登录流程获取未授权访问权限。 #### 基于弱...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值