Bugku-bp

最新推荐文章于 2024-10-08 01:04:03 发布
最新推荐文章于 2024-10-08 01:04:03 发布
阅读量125 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ljj20020718/article/details/129311467
文章描述了一种密码破解的场景,通过使用top1000字典对用户名的密码进行爆破。当发现返回的长度一致时,不是字典问题,而是服务器返回错误信息的方式。作者发现一段JS代码,如果r值等于bugku10000,则返回错误。利用这个信息,在option模块增加匹配规则后,成功爆破出密码为zxc123,从而获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. 题目已经给出用户名,所以我们只需要使用top1000字典来爆破密码,爆破结果如下

  1. 发现所有返回的长度都一样,这时我们可能会怀疑是字典的问题,但换了几次字典结果依然是这样,所以我们猜测正确和错误返回的长度可能确实是一样的

  1. 我们检查一下返回的代码

  1. 发现一段js代码,若r值为{code: 'bugku10000'},则会返回错误,所以可以利用这点,在option模块加上该匹配

  1. 重新开始爆破,结果如下

  1. 得密码为zxc123,登录即可得到flag

JayJay_Lin
关注
【CTF WEB基础】BP - Bugku CTF
yu_fly_fish的博客
08-03 709
一起变强!
bugku-writeup-web-好像需要密码
dark的博客
06-15 1290
bugku-web15解题思路记录。” 题目:好像需要密码
弱口令字典TOP1000
09-08
弱口令TOP1000,出自与国内各大数据库!
BugKu——Web——bp
m_de_g的博客
09-01 1393
BugKu——Web——bp 一、解题思路 1.爆破密码 2.抓包 3.设置添加密码 4.添加字典top1000.txt 5.开始爆破 6.但是没有爆破出来 7.填坑经验,因为有一段JS过滤,所以密码输入进出以后会被过滤
BugKu WEB 刷题(bp
oTT_TTo的博客
07-21 1683
BugKu WEB 刷题(bp
1000弱口令字典
jihaichen520的博客
05-18 4万+
123456123456789111111from9112345678123123520131400000011111111a123456163.comfill.com12332112312312300000000131452077585211234567666666123456a1234567890woainia12345678988888888888888147258369qq12345665...
整理了一些弱口令字典Top1000
2301_77766925的博客
08-28 4294
root1234561raspberryadminpassword123456789111111P@ssw0rd1234567812345anonymous@1qaz@WSXadmin123testaisadmin123user12312312341qaz!QAZp@ssw0rd1qaz2wsxabc1231234567890Admin@123Aa123456111root@123。
常用密码top1000
06-19
常见的用户名密码1000条!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1
bugku-web-bp-wp
qq_37659794的博客
11-09 3305
ctf-bp 题目分析: 本题页面如下,需要填写密码登录成功可能会有flag 题目给的提示是top1000???z???? 因此不难看出密码是top1000字典里的弱密码 且开头可能为z 可抓包试着看看。用火狐浏览器设置代理服务器127.0.0.1:8080,在页面中随便输入字符提交抓包: 点击该页面的action选项,选择send to intruder即暴力破解模块。选择position即暴力破解的位置,这里选择密码模块。 爆破之前我们要找到top1000字典。以下为下载地址 https://g
bugku--杂项WP
Hydra的博客
11-18 3111
目录 2.这是一张单纯的图片  3.隐写 4.telnet 5.眼见非实(ISCCCTF) 6.啊哒 7.又一张图片,还单纯吗 8.猜  9.宽带信息泄露  10.隐写2 13.come_game 14.linux 15.隐写3 16. 做个游戏(08067CTF) 17.想蹭网先解开密码  18.Linux2 19.账号被盗了 21.爆照(08067CTF) ...
top1000.txt
01-04
用于暴力破解的top1000字典
弱密码top1000
08-06
弱密码top1000 弱密码top1000弱密码top1000 弱密码top1000
常用姓名字典合集TOP1000(拼音)
09-28
通过大数据统计的中国姓名TOP500排行榜,在渗透测试过程中,攻击者可以利用此字典进行社工和暴力破解,结合弱口令字典,成功率很高。
bugku bp
最新发布
03-15
好的,我需要帮助用户查找与BugKu平台相关的BP(Burp Suite)文件或渗透测试资源,并结合蓝队资源。首先,用户提到的引用中有关于蓝队安全测试和渗透测试的内容,尤其是引用[2]和[4]提到了文件上传、下载、包含漏洞...
无限制的后台爆破
qq_48335646的博客
10-19 311
工具:burp suite pro v2.0.11 火狐浏览器字典top1000.txt。
常见的弱口令字典1000~一石三鸟
热门推荐
qq_46634561的博客
08-31 10万+
目录 1,常见弱口令字典1000(乱序自我整理)+ 数字字母符号型1000 2,生成弱口令字典可以使用Pydictor工具 在kali系统中可以直接拖拽下载(基于python) git clone https://www.github.com/landgrey/pydictor python pydictor.py 然后进行操作生成自己喜欢的密码 常见弱口令字典1000 p...
owasptop10之暴力破解
赤赤三的博客
03-20 480
暴力破解: 破解前一定有一个有效的字典top1000)p 判断用户是否设置了复杂的密码 网站是否存在验证码 尝试登录行为是否有限制(使用IP代理池) 是否有双因素认证、token值等 登录页面存在哪些漏洞: 注入点及万能密码登录 不安全的用户提示,提示用户名、密码或者验证码不正确 登录页面源代码,是否存在敏感信息泄露 不安全的验证码 注册账号的时候存在不安全的提示 不安全的密码,注册账号的时候,密码没有限制复杂度 暴力破解没有限制IP地址,锁定用户(wa.
ctf.bugku - bp (弱密码top1000)
guanrongl的专栏
10-08 981
由于返回的错误信息有 bugku10000 ,所以设置 grep match 添加 bugku10000。结果安装 length 、bugku1000排序,得到 密码 zxc123。在页面输入密码 zxc123 ,得到结果。加载top1000.txt 密码文本;发送请求到 intruder。访问页面,随便输入个密码。
Bugku bp
weixin_53955759的博客
09-12 1133
先看题目 打开环境 发现已经知道用户名,那么只需要爆破密码,而且题目还提示了弱密码top1000,搜索了一下top1000,的确是一个字典, 下载备用,随便输一个密码,设置好代理,打开拦截,点击发送 成功抓到 将需要爆破的密码设置变量 再在Payload中添加我们下好的top1000字典,开始爆破 发现所有的返回长度都是一样的, 人麻了,研究了一会还是看了wp 发现是返回的响应里有不同的东西 通过Burpsuite的 (Grep – Matc.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值