这篇博客详细介绍了在CTFShow中遇到的各种Web安全爆破题目,涉及自定义迭代器解密、域名爆破、PHP伪随机数生成、教务系统密码破解等实战技巧。通过案例分析和解决方案,分享了作者在学习过程中的收获。
目录
web21
custom iterator
随便输入一个密码,然后抓包,会是这样
会发现一个base64编码,解码发现它的形式为——admin:密码
所以在这个时候,我们要用自定义迭代器
第一段为admin
第二段为“:”
第三段为题目附件下载的密码
特别注意的是,要进行base64加密
而且不能进行字符url编码,因为,在base64加密后,会有=,进行url编码可能出现错误
爆破完成!!!得到flag了
第二个hint也提供了python的脚本,也可以用python跑出来的
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-11-20 19:16:49
# @Last Modified by: h1xa
# @Last Modified time: 2020-11-20 20:28:42
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
import time
import requests
import base64
url = 'http://41a801fe-a420-47bc-8593-65c3f26b7efa.chall.ctf.show/index.php'
password = []
with open("1.txt", "r") as f:
while True:
data = f.readline()
if data:
password.append(data)
else:
break
for p in password:
最低0.47元/天 解锁文章
扫一扫
3715
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
