BugkuCTF-WEB题bp

最新推荐文章于 2025-09-02 18:15:00 发布
原创 最新推荐文章于 2025-09-02 18:15:00 发布 · 659 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

查看题目的提示和描述
在这里插入图片描述
在这里插入图片描述
尝试输入admin,zxc111,失败
admin,zxc123,竟然成功登录界面
这题这么随便的吗?
真服!
也可进行爆破得到密码
在这里插入图片描述
flag{a03c860c57aca1c9697d8007f358cf1f}

Bugku bp
weixin_53955759的博客
09-12 1163
先看目 打开环境 发现已经知道用户名,那么只需要爆破密码,而且目还提示了弱密码top1000,搜索了一下top1000,的确是一个字典, 下载备用,随便输一个密码,设置好代理,打开拦截,点击发送 成功抓到 将需要爆破的密码设置变量 再在Payload中添加我们下好的top1000字典,开始爆破 发现所有的返回长度都是一样的, 人麻了,研究了一会还是看了wp 发现是返回的响应里有不同的东西 通过Burpsuite的 (Grep – Matc.
BUGKU CTF WEB (10-15)
半夜好饿的博客
10-25 3125
11、web5 点开网址后: 随便输入提交看看: 并没有出现什么,F12查看代码,会发现一个奇怪的东西: 百度以后发现是某种编码,将其丢到控制台出直接解码,得到flag。 flag:ctf{whatfk} 12、头等舱 点开网址后: 会发现如文字所述,什么也没有,查看代码,emmm,也很干净,什么都莫得orz。 用抓包试试看吧,或许能有什么东西。 抓包后发现了 flag。查看了其...
bugku ctf刷1
weixin_63231007的博客
03-23 609
game1 前端java游戏类目,我们前端玩游戏的数据,总是要传给后端的,可以拦截数据包,修改数据。 先玩一局游戏,之后打开F12的network可以看见游戏数据。 score.php传输了我们的score得分,ip和sign。 查看源码可知,sign是score经过base64加密的一种形式。但是我们的得分175经过base64 加密后发现是MTc1 ,而现在的sign是ZMMTc1==,所以得知 sign = "zM" + base64(score) + "=="。 之后我们get一
【Bugku webbp
DdddddXxxxx的博客
07-16 1123
目提示密码为“zxc???”,猜测密码为zxc开头的6位字符串。 随意输入密码后,对返回界面进行源代码审计。发现脚本如下 <script> var r = {code: 'bugku10000'} if(r.code == 'bugku10000'){ console.log('e'); document.getElementById('d').innerHTML = "Wrong account or password!"; }else{ console.log('0')
bugku bp
m0_62709637的博客
07-04 1594
bugku bp
CTF平台库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4498
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
[Bugku] web-CTF靶场系列系列详解⑥!!!
muyuchen110的博客
08-09 1214
【代码】[Bugku] web-CTF靶场系列系列详解⑥!!!
bugku-web-bp-wp
qq_37659794的博客
11-09 3355
ctf-bp 目分析: 本页面如下,需要填写密码登录成功可能会有flag 目给的提示是top1000???z???? 因此不难看出密码是top1000字典里的弱密码 且开头可能为z 可抓包试着看看。用火狐浏览器设置代理服务器127.0.0.1:8080,在页面中随便输入字符提交抓包: 点击该页面的action选项,选择send to intruder即暴力破解模块。选择position即暴力破解的位置,这里选择密码模块。 爆破之前我们要找到top1000的字典。以下为下载地址 https://g
CTF BugKu平台—(Web篇①)_ctf bugku web
2501_90392009的博客
01-31 1837
发现是一个一直在闪的页面 使用bp 抓包 发送到requencer --send 随便点几下在 到10.jpg 发现了flag。即num既不能是数字字符,但是要等于1,我们可以想到用科学计数法表示数字1,既不是纯数字,其值又等于1因此。这里的sign显示是加密的。这里是zMNTA,这里我好几次都是zM开头的 ==结束的,查看源代码。是一个弹窗 F12 找到一些线索,估计是编码,看了一下下面的评论知道是Unicode编码。通过url传入what的值,让其等于flag,直接构造url就得到flag。
BugKu Web渗透之login2
最新发布
cai_huaer的博客
09-02 367
7.于是猜测,flag是一个文件,继续回到之前的进程监控系统的页面,输入143.0.0.0 | cat flag > 6.txt,再去http://117.72.52.127:12643/6.txt页面查看,发现已经显示了flag。6.继续回到之前的进程监控系统的页面,输入143.0.0.0 | ls ./flag > 2.txt,再打开http://117.72.52.127:12643/2.txt 查看,并没有发现内容。必定返回最后数据,为 2,md5后的111。启动场景,进入页面,是一个登录页面。
【CTF WEB基础】BP - Bugku CTF
yu_fly_fish的博客
08-03 855
一起变强!
bugku web-(bp)
weixin_46578840的博客
09-03 302
打开网址是一个登录框。已知账号是admin 且根据提示是要爆破,top1000, 爆破了完了发现相应包长度都一样,根本看不出那个是正确密码, 但是发现每个相应包都会返回一串JavaScript代码告知我们的密码有错误 既然是告知我们密码错误的,那么找出返回跟这一串js不一样的相应包即可 在选项中添加 接下来我们注意这个选项即可 发现了 很明显的发现js代码不一样,登录得到flag ...
BUGKU-WEB bp
默默提升实验室
02-16 2153
BUGKU-WEB bp 看似爆破,实则考察过滤
Bugku---web---bp
weixin_47450099的博客
04-29 872
Bugku---web---bp 网络安全
Bugku-bp
2401_87218800的博客
06-15 819
摘要:本文介绍了使用Burp Suite爆破弱口令获取flag的过程。首先尝试常见弱密码失败后,通过抓包发送Intruder模块,添加1000条弱口令字典进行爆破。爆破完成后分析响应数据,设置匹配规则过滤错误密码,最终发现唯一未匹配的密码"zxc123"符合目提示"z?????"格式。输入该密码成功获取flag。整个流程涵盖了弱口令爆破的基本操作步骤和数据分析技巧。(150字)
bugku--bp
qq_51802152的博客
12-13 964
bugku--bp
BugKu Web渗透之bp
cai_huaer的博客
06-04 670
我们知道换行是"\r\n", 那么换行后的第一个就是开头的字母,于是我们搜索"\nz",记得要勾选扩展。然后,之前不是没有尝试五位数密码的,前面再手动+1的,我手动筛选了下,然后再在Payload processing中添加前缀“z”。由于提示写了,密码是6位数,而且以z开头的,有两种情况:一是直接长度为6,第一个字母是z的密码,二是长度为5的,并在前面加上z。然后我又直接在网页中尝试输入四个z字开头的密码,发现 zxc123 输入后,直接点击提交也是可以展示flag的。发现结果都是一样,没有长度不同的。
Bugku刷--WEB
chenmou40的博客
06-16 622
1.Simple_SSTI_1 解法: 在URL中构造 ?flag={{config.SECRET_KEY}} 审: 相关知识点: Python沙盒绕过 模板注入(STTI) 模板引擎(STT) 2.Simple_SSTI_1 解: 1.工具:tqlmap 2.手工 3.Flask_FileUpload 解法: 创建一个文件,写python代码,修改文件格式为 .jpg import os os.system('cat /flag') 修改文件格式方法自行搜索 审: <!-- Give m.
Matlab源码:MPA-BP优化BP神经网络回归预测
资源摘要信息:"Matlab实现MPA-BP海洋捕食者算法优化BP神经网络多变量回归预测" ### 知识点概述: 1. **多变量回归分析**:这是统计学中分析多个变量间相互依赖关系的一种方法,用来预测或估计一个因变量与多个自...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值