基础认证(CTFHUB)

于 2025-03-19 09:54:55 发布
阅读量314 收藏
点赞数 5
分类专栏: CTF 文章标签: CTF 安全 WEB CTFHUB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Sweet_vinegar520/article/details/146361451
版权

##解题思路

从题目来看,大概是需要账号密码登录

题目附件是密码表,可能要爆破,证实猜想

点击靶场按钮

跳转到登录界面,adminadmin弱口令抓包

发现有个陌生字段Authorization,使用了Base64加密,这大概就是HTTP基本认证

解密结果是我的账号密码

保留账号admin:,对密码进行编码爆破

成功爆破(密码每次不同)

重放获得flag

总结

主要是看网上wp,是写脚本编码密码表,但其实burp有自己的加密机制

ctfhub-HTTP协议-基础认证
m0_62094846的博客
11-07 406
但抓不了包,但我看很多人wp都是可以的 只能在这个页面抓包了,再自己添加这一段 如果乱添加一通的话,会显示Douknowadmin,可能表示用户名是admin,字典上也只是给了密码,所以账号已知 Authorization:Basic是固定格式 后一段表示 用户名:密码 接下来爆破 下面的和之前的有些不一样,因为密码要编码成base64 添加前缀和编码方式 取消勾选,否则,=会被转为%3d (12条消息) Burp S...
CTFHUB-WEB前置技能-HTTP协议-基础认证
K_ShenH的博客
06-09 1323
CTFHUB-WEB前置技能-HTTP协议-基础认证
CTFHub 基础认证
m0_52709104的博客
04-03 393
HTTP协议基本认证 大家看一下这篇文章会对HTTP基本认证有着更好的理解,也对下面的做题有帮助: https://blog.youkuaiyun.com/weixin_42461410/article/details/88420947 大家看一下这篇文章会对HTTP基本认证有着更好的理解: 打开题目: 下载附件会用到爆破,使用Burp抓包: 把Basic后面的数据点击添加 载入下载的字典 根据上面那篇文章:1.添加前缀作为用户名 admin:,2.进行Base64编码 3.记住把URL编码取消勾选 进行
ctfhub 基础认证
m0_63711447的博客
05-25 3133
1、打开题目环境 2、点击click跳出来一个登录弹窗,随便输入用户名和密码登录试试,没有返回任何有用信息 3、查看附件,得到一堆密码,应该是要直接爆破 4、点击click抓包后发送到repeater模块,重新发包得到"Do u know admin"的信息,猜测用户名即为admin 4、输入用户名和密码后抓包,看到一串base64加密过的字符 丢到解码器里解码,发现是我刚输进去的用户名和密码,中间用冒号隔开了(冒号划重点! 6、把包发送到爆破模块,给刚刚的base64密
CTFHub-Web基础认证
weixin_45871855的博客
10-29 922
CTFHub中被搁置好久的题: 原地址 (1)打开链接 点击click得到一个输入框 “Do u know admin?”可知这个题的用户名大概率是”admin“ (2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法 我们可以用burp抓包,进行密码爆破 在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得 admin:19s45 可知这串字符是这个题的用户名和密码; (3)将它进行爆破 将数据发送到 Intruder 进行
CTFHub-基础认证
Have_a_great_day的博客
09-06 931
CTFHub-基础认证之夺旗流程
CTFhub技能树-Web-信息泄露
2301_81988171的博客
08-14 2321
在平常的工作中,当我们在单独拉取的功能分支中进行开发时,遇到线上出现bug需要进行紧急修复,我们需要切换到主分支,进行代码的修复。合理的方式应该是将功能分支的代码临时存储在某个位置,当我们切回到当前分支,读取该存储,将之前的改动恢复。这就引起了git泄露漏洞。当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。这样的命令,完美的解决了这个问题,其将当前未提交的修改(即工作区和暂存区的修改)先暂时储藏起来。
CTFhub技能树-Web-密码口令
2301_81988171的博客
08-14 2046
攻城锤模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次攻击都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。使用Burp爆破密码,猜测用户名是admin,只需要爆破密码即可,同时爆破用户名和密码太费时间了。,在返回包中找到flag,如果太多可以使用过滤只看200状态码的响应。设置一下资源池中的爆破速度和间隔时间,否则会出现503响应发生。在网上找“亿邮件网关”的默认密码,一个一个尝试。总体也不影响,按返回长度排序,密码是。
CTFHUB基础认证》:burp使用,basic请求了解
weixin_45694388的博客
11-10 1857
题目简介:在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 根据已知可得,这应该是道爆破密码题,而且已知字典 根据抓包可知,本网页提交会将用户名密码经过base64加密后提交,且格式为: 用户名:密码 先输入字典 增加爆破规则: 增加前缀admin: 再base64编码 开始爆破
CTFhub-基础认证
qq_43006864的博客
12-11 8483
一、首先,打开题目所给界面。这里他给了我们一个密码本。 这里提示我们。这儿是你的flag,还有一个可以点击的选项。 正常思路,我们会点击这个click交互键。 二、然后弹出来了一个登陆界面,这里老规矩,打开burpsuit,进行抓包。 这里跳过之前的抓包步骤,我们直接用burpsuit,到登陆界面。 然后进行一下测试,因为目前没有更多的思路,所以先随便输入用户名和密码,这里我输的是aa:aa。 然后进行抓包,发现了Authorization:后面有一串BASE64的编码 ..
CTFHub | 基础认证
尼泊罗河伯的博客
10-01 5164
这题有一个题目附件10_million_password_list_top_100 内容是1000 万密码列表的前 100 个,那么这题应该和暴力破解有关。在这之前,我先使用了暴力破解工具进行尝试,但是密码都试遍了也没成功。
CTFHUB-WEB基础认证
TA不懒,但还没有添加简介
11-20 3730
1
ctfhub HTTP协议 基础认证
qq_75120258的博客
10-15 416
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
CTFHUB HTTP协议 - 基础认证
最新发布
weixin_52241647的博客
12-15 1055
当客户端(如浏览器)向服务器请求受保护的资源时,服务器会返回一个 401 Unauthorized(未授权)状态码,并在响应头中包含 “WWW-Authenticate” 字段,该字段会指定认证方式(这里就是 “Basic”,表明基础认证)以及认证的 realm(领域,用于区分不同的受保护资源区域)等信息。服务器解码收到的认证信息,对比数据库等存储的合法用户信息,如果用户名和密码正确,就返回请求的资源内容,如 HTTP/1.1 200 OK 以及对应的网页 HTML 内容等;
CTFHub-web前置技能-基础认证
RedArvin的博客
10-04 674
根据要求尝试输入{用户名:admin; 密码:123456},由‘’Do u know admin"猜测用户名为admin,信息错误无响应 根据输入前后抓包结果差异,考虑” Authorization: Basic YWRtaW46MTIzNDU2”为输入内容,观察得“YWRtaW46MTIzNDU2”为4的倍数,猜测为base64编码 使用题目文档中“10_million_password_list_top_100”文件对密码进行爆破: 1.选中clear清除原有标记;选中Basic后字符串,点击
ctfhub HTTP协议-基础认证
qq_44640313的博客
01-20 820
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。
CTFHUB技能树之HTTP协议——基础认证
weixin_73049307的博客
10-12 535
这样就很简单了,将密码字典的每一行都转换成base64编码的形式再使用。(这里猪鼻了,burpsuite自带base64编码功能)很明显了用burpsuite配合密码字典进行爆破。很显然,已经成功base64编码化了。发现是一串base64编码。
CTFHUB--基础认证
追风少年亚索的博客
12-02 636
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证
ctfhub基础认证
07-28
CTFHub是一个专注于网络安全、信息安全和白帽子技术的在线学习和实训平台。它提供优质的赛事和学习服务,并拥有完善的题目环境和配套的writeup,以降低CTF学习的门槛,帮助选手快速成长,跟随主流比赛潮流。\[3\]关于基础认证的具体内容,可以参考HTTP基本认证的工作流程。在HTTP基本认证中,浏览器可以通过提供用户名和密码的方式进行身份验证。服务器会返回401状态码,并在首部提供验证信息,包括一种查询方式。用户可以在新的请求中添加Authorization首部字段来验证身份。通常,凭证信息会被编码或加密处理。\[1\]\[2\] #### 引用[.reference_title] - *1* *2* *3* [CTFHub | 基础认证](https://blog.youkuaiyun.com/m0_51191308/article/details/127117142)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值