实战篇1:密码找回

原创 已于 2023-04-25 18:05:47 修改 · 569 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #笔记 #web安全 #网络安全

于 2023-04-25 18:02:23 首次发布
文章描述了一次CTF挑战中的密码找回过程,通过burp抓包和Base64解码发现并修改了加密的用户名,强调了明码对应明码、暗码对应暗码的重要性,以及在解决问题时避免犯错的经验教训。

  实战地址:密码找回 

重点提示:重置;admin的密码

 首先看到这个界面,尝试输入密码(随意),验证码:1234

 出现error,说明常规手段不行。其实账号是ctfuser就知道。接下来再次输入密码,验证码:1234,进行burp抓包尝试。

 看到user1=Y3RmdXNlcg==

貌似是个Base64编码(看到后面有两个等号就感觉八九不离十),然后用Decoder解码

可以看到思路正确,接下来就只需要修改几个地方,然后放包即可

观察数据包结合已知条件我们知道一共要修改三个地方,在这里最需要注意的一点是明码对应明码,暗码对应暗码,修改代码必须遵守这个条件,负责计算机无法识别。

admin的Base64编码为YWRtaW4=

修改然后放包

成功拿到flag。

本题重点在于对burp抓包后修改数据,然后放包,骗过服务器得到flag

最开始看懂这个题目,讲真没啥头绪,知道要用burp抓包,但是在耗费了一下午的时间之后还是搞不定,最后之能求助别人,发现我犯了一个非常蠢得错误,burp抓包之后没有放包,一直在burp里面打转,就是repeater里面改一下放一下,整个人都麻了、、、

然后犯的错误就是没有明码对应明码,暗码对应暗码,一股脑都给改成了admin。

看来作为跟计算机完全不沾边的人,要想学会,任重而道远。。。

CTF-加密与解密(四)
→_→
08-05 2101
声明:以下CTF题均来自网上收集,在这里主要是给新手们涨涨见识,仅供参考而已。需要题目数据包的请私信或在下方留言。 7.HTML解密 (来源:安码CTF) 1.关卡描述 想登陆?没那么容易。 从网页中找到登陆密码。 2.解题步骤 2.1 访问exam.html,发现需要登录; 2.2 查看web源码,从js代码中找到ht_click()方法; 2.3 在console中,调用该方法,得到...
100.网络安全渗透测试—[常规漏洞挖掘与利用篇16]—[密码找回漏洞与测试]
qwsn
02-05 4812
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、密码找回漏洞与测试 1密码找回漏洞简介 2、密码找回漏洞测试 (1)源码审计:forget.php (2)正常的密码找回过程: (3)密码找回漏洞分析: (4)密码找回漏洞测试: (5)漏洞总结:
CTF---Web入门第十四题 忘记密码
weixin_34311757的博客
11-19 377
忘记密码了分值:20 来源: Justatest 难度:中 参与人数:7706人 Get Flag:2232人 答题人数:2386人 解题通过率:94% 找回密码 格式:SimCTF{ } 解题链接: http://ctf5.shiyanbar.com/10/upload/  原题链接:http://www.shiyanbar.com/c...
ctf web本地管理员
god_001的博客
03-05 1880
启动场景,发现是一个登陆网页: 查看网页源代码, 发现最下一行疑似使用了base64加密 解密后果然,得到一串字符:test123 测试管理员账户为admin,密码为test123,得到 再联系题目,可知需要使用本地IP登录, 使用bp抓包,send to repeater,头部添加 X-Forwarded-For:127.0.0.1 发送请求得到结果: X-Forwarded-For X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端的真.
优快云密码找回方法
Main_3K10的专栏
09-11 1003
最近在需要下载优快云里面的资源,奈何积分不够,想到了很早之前注册的账号还有积分,于是点击忘记密码,可是手机号换了,邮箱也不记得了,只有选择QQ联系客服试试。 客服就问了我这个账号的注册时间和地点,我凭着记忆答了下,应该是对了~ 然后客服让我提供个新的邮箱,然后再进行邮箱找回密码。 大功告成,感谢那个客服让我找回了多年前的账号(主要是有积分),O(∩_∩)O~ ...
优快云密码终于找回来了
GuFenglei的专栏
06-24 928
乌拉,以后会在这里详细记录我在日常工作中的所得所想~~
商城项目实战开发系列之安全篇:密码安全与数据加密
# 1. 密码安全的重要性 在现代互联网时代,用户密码安全至关重要。用户的密码一旦泄露,将会带来严重的风险,不仅影响个人的数据安全和隐私保护,也可能导致企业机密数据的泄露。因此,密码安全措施的必要性...
【实战演练】:从零开始构建家庭财务管理系统数据库(实践篇)
[【实战演练】:从零开始构建家庭财务管理系统数据库(实践篇)](http://wisdomdd.cn:8080/filestore/ueditor/jsp/upload/image/20200611/1591841523562001548.png) # 摘要 本文系统地探讨了家庭财务管理系统的概念...
Python项目开发实战:博客管理系统(案例教程实例课程).pdf
07-05
- **用户管理模块**:实现用户注册、登录、密码找回等功能。 - **文章管理模块**:支持文章的发布、编辑、删除及查看等功能。 - **评论管理模块**:提供评论的发布、查看及删除等功能。 - **标签管理模块**:实现...
Dify忘记了模型供应商的API Key怎么找回?解密实战指南
最新发布
12-08 472
摘要:本文分享了如何从Dify数据库中找回已配置但忘记的API Key的实战案例。通过分析Dify的加密存储机制,详细介绍了从定位数据库记录到执行解密的完整步骤,包括常见错误处理方案。关键点在于必须使用create_app()创建完整应用环境才能正确解密,同时需要注意不同插件的API Key字段命名差异。该方法适用于通义千问、SiliconFlow等各类插件API Key的找回需求。
找回密码界面
06-02
仿照qq的找回密码界面而做的界面样式,html5+css3+jquery
找回密码(代码)
08-27
找回密码(代码)--这几天收集的!
注册,登录,找回密码.zip
06-13
laravel登录注册页面,bootstrap搭建的注册登录页面,登录、注册、找回密码、全部都在一个页面上,用户体验好。本人就是用这个做的,非常实用。
终于找回了优快云账号密码
zengzc的专栏
10-09 6222
<br />因密码忘记,加上原先设置的@fescomail邮箱服务器被关闭并不能用了,csdn账号一直无法使用,昨天晚上给webmaster发了邮件,今天早上在我上班之后不久就得到了回复,并得到了解决,感谢优快云的Webmaster,让我感受到了优快云的工作效率,祝愿优快云越办越好!
重新找回了csdn的密码
littlebirdman的专栏
04-13 1429
离现在最近的一篇博客居然是2014年七月份的,离现在已经有三年了。这三年发生了很多事,我的生活有了很大的变化:找到了工作、结了婚。。。,我以前都没有想到自己的生活会变成现在这个样子。有的东西变了,有的东西依然没变。leetcode也没有刷完,做过的题目已经忘了。
csdn密码忘记怎么办
on_the_的博客
04-23 1308
建议牢记密码,绑定手机以及微信,这样就不会浪费太多时间了,我为了这个花了两个小时啊,简直了。特此纪念
CTF实验吧-忘记密码了【vim编辑器备份文件】
Sp4rkW的博客
08-01 6504
原题内容: 找回密码 格式:SimCTF{ } 解题链接:http://ctf5.shiyanbar.com/10/upload/ (略过查看源代码等最基本的步骤)首先首页让你输入注册邮箱找回密码,尝试admin,有弹窗显示消息: 复制提示信息至地址栏: 发现可以看到step2的内容然后瞬间变成step1内容,打开bp准备逐步查看,获取step2页面内容: 代...
优快云账号找回密码的解决方法(原手机号不能使用)
佳大先生的博客
03-23 1635
直接联系优快云的QQ客服,我找回密码大约搞了两个小时,请耐心等待,客服的工作人员回帮助你找回密码
csdn密码找回真不容易
zbsfg的专栏
07-03 1283
 这二天突然发现密码错误,找了好几天才发现不是我的错 唉,总算找回来了.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值