CTFSHOW-WEB入门爆破部分(21-28)

最新推荐文章于 2024-06-02 17:29:44 发布
最新推荐文章于 2024-06-02 17:29:44 发布
阅读量428 收藏 1
点赞数 1
分类专栏: CTF学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lleo1/article/details/113341521
版权
本文详细介绍了CTF比赛中的WEB爆破挑战,包括使用burpsuite进行基础爆破,通过扫描工具解决web22,编写PHP脚本解决web23,利用伪随机数破解web24,借助特定脚本获取web25的flag,以及通过字典爆破解决web26、web27和web28的问题。每个环节都涉及不同的技术和技巧,展示了WEB安全攻防的重要实践。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CTFSHOW-WEB入门爆破部分

0x01 web21 基础爆破

工具:burpsuite

首先打开界面是一个登录框在这里插入图片描述
随便输入个admin admin然后抓包发现这一行Authorization: Basic YWRtaW46YWRtaW4=拿去解码
在这里插入图片描述
设置payload去爆破 下面是我的爆破方法
爆破点设置在这里插入图片描述
payload1设置(我当时直接默认用户名是admin了)
在这里插入图片描述
由于我的爆破点设置 模式选择cluster bomb 由于用户名部分把也加进去了 所以需要在爆破上添加后缀:
然后添加BASE64编码 记得将下方的url编码关掉 防止=被编码
payload2的设置不放图了 用题目给的字典 然后和payload1一样添加BASE64编码关掉URL 直接爆破

最低0.47元/天 解锁文章
CTFshow-web入门爆破21-28
i_kei的博客
12-13 8116
web21 用burp抓包 输入的账户名和密码被base64加密了,用burp自带解密发现账户名和密码之间用冒号隔开了,接下来构造payload 分别选中账户名和密码,我这里选择把冒号放到了账户名那里,放到密码也可以,只是一会儿加前缀和后缀的区别 payload1(账户名):先导入题目提供的字典,然后加后缀冒号,再用base64加密 payload2(密码):导入提供的字典,base64加密 payload1和payload2都需要取消勾选 构造完之后,发现需要爆破的条目数太大了,经过群里大佬
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1252
ctfshow-web入门-爆破wp
CTFcrackTools(CTF比赛解密工具) V2.1.rar
05-11
CTFTools工具 集合栅栏 凯撒 摩斯 Base64 Url编码 Unicode等多种解码方式
CTFSHOW web入门——web21
m0_74093152的博客
02-21 345
CTFSHOWweb入门——web21
CTF-show WEB入门--web21
m0_73912575的博客
02-06 735
CTF-show WEB入门--web21
CTFshowweb入门21-28爆破
一个普普通通的博客
10-15 4102
文章目录WEB21WEB22WEB23WEB24WEB25WEB26WEB27WEB28 WEB21 先随意使用一个密码抓包尝试一下 base64解密后发现账号密码的形式为 账号:密码 根据提示我们使用题目所给字典爆破 构造payload,猜测账户名为admin,前半部分不用变,为后半部分迭代即可 导入所给字典 进行base64编码,切记不可为符号再编码,base64可能存在= attack 拿到flag 或者采用方式二 同样拿下 WEB22 子域名爆破,但是这题爆不出来,直接查看view
ctfshow-web入门-爆破web21-web24)
最新发布
Welcome To Myon'Blog !
06-02 2167
(intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1) === intval(substr($token, 31,1)) 将第 2、15 和 18 个字符转换为整数相加,再除以第 2 个字符的整数值,检查结果是否等于第 32 个字符的整数值;flag.ctf.show 页面无法访问(前面有一个查这个域名的 DNS 的 TXT信息的题也是有问题)
ctfshow-web入门-爆破web26,27,28
HkD01L的博客
06-20 1228
ctfshow web26 web27 web28
ctfshow-web入门-爆破web21-24)
HkD01L的博客
06-19 557
ctfshow,爆破,web21,web22,web23,web24,writeup,ctf
ctfshow-web入门21-28
1ance's blog
06-01 591
爆破web21web22web23web24web25web26web27web28 web21 web22 web23 web24 web25 源码: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 13:56:57 # @Last Modified by: h1xa # @Last Modified time: 2020-09-03 15:47:33 # @email: h1xa@ctfer.com
ARCHPR4.54 ctf爆破压缩包
05-15
ARCHPR4.54 ctf比赛工具用于爆破压缩包
CTF 大赛专用工具
06-05
本工具不是本人专有,这个是我通过平常整理收集的一些专用且常用的工具
CTF爆破CRC32.zip
02-05
CTF爆破CRC32
CTF工具包.zip
11-20
CTF工具包.zip
ctfshow web入门 爆破web21题详解
m0_73860001的博客
07-09 541
5.点击上方的开始攻击,之后会弹出一个框,查看状态码为200的即爆破成功(之前我一直以为这个状态码是由小到大进行排序的,在这里卡了很多次,所以大家一定要查看完整】,你可以复制这个字符串进行base64解码之后登录,也可以点击【Response】查看flag。复制蓝色所框选的部分,点击上方【Decoder】菜单栏,将该字符串复制到框中,接着右侧点击【编码】-->【base64】可得下方该字符串解码所示结果,当然也可以去base64在线解密上解码该字符串。选项,可以发现上方【Intruder】变红,点击它。
刷题之旅第21站,CTFshow web1
cc菜的一批
02-16 460
感谢ctf show平台提供题目 F12查看源码,base64解码得到flag
CTFshow-Web入门》03. Web 21~30
学习学习学习......
11-25 1758
用户名密码爆破、域名爆破、PHP 代码分析、PHP 伪随机数及其逆推、burpsuite 暴力破解、eval() 利用与正则绕过。
CTF工具压缩包爆破神器Fcrackzip详细用法
Aluxian_的博客
06-26 8791
Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于系统。
ctfshow web入门21-28爆破
2202_75317918的博客
09-23 605
ctfshow web入门21-28爆破
ctfshow-web入门爆破
08-30
ctfshow-web入门爆破中,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码中的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回数据包,可以在爆破过程中去掉2.txt,只爆破目录即可。可以通过查看返回的数据包来获取目录中的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web185 正则爆破脚本](https://download.youkuaiyun.com/download/eason612/86793758)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFshow web入门——爆破](https://blog.youkuaiyun.com/qq_49480008/article/details/112991503)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值