CTFSHOW-WEB入门爆破部分(21-28)

最新推荐文章于 2025-08-13 14:07:07 发布
原创 最新推荐文章于 2025-08-13 14:07:07 发布 · 477 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了CTF比赛中的WEB爆破挑战,包括使用burpsuite进行基础爆破,通过扫描工具解决web22,编写PHP脚本解决web23,利用伪随机数破解web24,借助特定脚本获取web25的flag,以及通过字典爆破解决web26、web27和web28的问题。每个环节都涉及不同的技术和技巧,展示了WEB安全攻防的重要实践。

CTFSHOW-WEB入门爆破部分

0x01 web21 基础爆破

工具:burpsuite

首先打开界面是一个登录框在这里插入图片描述
随便输入个admin admin然后抓包发现这一行Authorization: Basic YWRtaW46YWRtaW4=拿去解码
在这里插入图片描述
设置payload去爆破 下面是我的爆破方法
爆破点设置在这里插入图片描述
payload1设置(我当时直接默认用户名是admin了)
在这里插入图片描述
由于我的爆破点设置 模式选择cluster bomb 由于用户名部分把也加进去了 所以需要在爆破上添加后缀:
然后添加BASE64编码 记得将下方的url编码关掉 防止=被编码
payload2的设置不放图了 用题目给的字典 然后和payload1一样添加BASE64编码关掉URL 直接爆破出flag

最低0.47元/天 解锁文章
CTF-show WEB入门--web21
m0_73912575的博客
02-06 789
CTF-show WEB入门--web21
CTFshowweb入门21-28爆破
一个普普通通的博客
10-15 4286
文章目录WEB21WEB22WEB23WEB24WEB25WEB26WEB27WEB28 WEB21 先随意使用一个密码抓包尝试一下 base64解密后发现账号密码的形式为 账号:密码 根据提示我们使用题目所给字典爆破 构造payload,猜测账户名为admin,前半部分不用变,为后半部分迭代即可 导入所给字典 进行base64编码,切记不可为符号再编码,base64可能存在= attack 拿到flag 或者采用方式二 同样拿下 WEB22 子域名爆破,但是这题爆不出来,直接查看view
CTFshow-web入门-爆破web21~28)WP
最新发布
Claire_cat的学习记录
08-13 854
在第二张图中,我们输入的账号是admin,密码是123456,得到了 YWRtaW46MTIzNDU2 ,放进cyberchef解密,发现账号密码的加密方法,即。附件给了密码字典,用字典里的密码登录admin管理员账户,密码太多了,想到用 bp 爆破。注意:php5 和 php7 的种子的随机数列不一样,题目环境是 php7。注意:php5 和 php7 的种子的随机数列不一样,题目环境是 php7。注意:php5 和 php7 的种子的随机数列不一样,题目环境是 php7。
CTFSHOW web入门——web21
m0_74093152的博客
02-21 388
CTFSHOWweb入门——web21
ctfshow-web入门-爆破web21-web24)
Welcome To Myon'Blog !
06-02 2822
(intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1) === intval(substr($token, 31,1)) 将第 2、15 和 18 个字符转换为整数相加,再除以第 2 个字符的整数值,检查结果是否等于第 32 个字符的整数值;flag.ctf.show 页面无法访问(前面有一个查这个域名的 DNS 的 TXT信息的题也是有问题)
CTFshow-web入门爆破21-28
i_kei的博客
12-13 8378
web21 用burp抓包 输入的账户名和密码被base64加密了,用burp自带解密发现账户名和密码之间用冒号隔开了,接下来构造payload 分别选中账户名和密码,我这里选择把冒号放到了账户名那里,放到密码也可以,只是一会儿加前缀和后缀的区别 payload1(账户名):先导入题目提供的字典,然后加后缀冒号,再用base64加密 payload2(密码):导入提供的字典,base64加密 payload1和payload2都需要取消勾选 构造完之后,发现需要爆破的条目数太大了,经过群里大佬
ctfshow-web入门-爆破web26,27,28
HkD01L的博客
06-20 1349
ctfshow web26 web27 web28
CTFshow--web入门--爆破
qq_46874275的博客
04-20 743
~目录~web21 Custom iterator(Base64加密)web22 子域名web23 MD5加密web24 web21 Custom iterator(Base64加密) 发现账号密码被Base64加密了,通过解密得知账号密码的形式为 账号:密码 抓包,添加$ 选择Payload type为Custom iterator,在Position1添加admin:(这里其实我们不知道账号为admin,正常爆破时间太长,看了大佬的wp知道账号为admin,我们就只爆破密码了) 在Position
ctfshow-web入门21-28
1ance's blog
06-01 654
爆破web21web22web23web24web25web26web27web28 web21 web22 web23 web24 web25 源码: <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-03 13:56:57 # @Last Modified by: h1xa # @Last Modified time: 2020-09-03 15:47:33 # @email: h1xa@ctfer.com
CTF — 压缩包密码爆破
热门推荐
Bruce_xiaowei的博客
08-06 1万+
​ 在CTF比赛中,密码爆破压缩包(如ZIP或RAR文件)是一个常见的任务。针对ZIP压缩包的密码爆破主要是使用工具ARCHPR完成的。
CTFcrackTools(CTF比赛解密工具) V2.1.rar
05-11
CTFTools工具 集合栅栏 凯撒 摩斯 Base64 Url编码 Unicode等多种解码方式
ARCHPR4.54 ctf爆破压缩包
05-15
ARCHPR4.54 ctf比赛工具用于爆破压缩包
CTF 大赛专用工具
06-05
本工具不是本人专有,这个是我通过平常整理收集的一些专用且常用的工具
CTF爆破CRC32.zip
02-05
CTF爆破CRC32
CTF工具包.zip
11-20
CTF工具包.zip
ctfshow web入门 爆破web21题详解
m0_73860001的博客
07-09 602
5.点击上方的开始攻击,之后会弹出一个框,查看状态码为200的即爆破成功(之前我一直以为这个状态码是由小到大进行排序的,在这里卡了很多次,所以大家一定要查看完整】,你可以复制这个字符串进行base64解码之后登录,也可以点击【Response】查看flag。复制蓝色所框选的部分,点击上方【Decoder】菜单栏,将该字符串复制到框中,接着右侧点击【编码】-->【base64】可得下方该字符串解码所示结果,当然也可以去base64在线解密上解码该字符串。选项,可以发现上方【Intruder】变红,点击它。
刷题之旅第21站,CTFshow web1
cc菜的一批
02-16 486
感谢ctf show平台提供题目 F12查看源码,base64解码得到flag
CTFshow-Web入门》03. Web 21~30
学习学习学习......
11-25 1866
用户名密码爆破、域名爆破、PHP 代码分析、PHP 伪随机数及其逆推、burpsuite 暴力破解、eval() 利用与正则绕过。
CTF工具压缩包爆破神器Fcrackzip详细用法
Aluxian_的博客
06-26 1万+
Fcrackzip是一款专门破解zip类型压缩文件密码的工具,工具小巧方便、破解速度快,能使用字典和指定字符集破解,适用于系统。
ctfshow-web入门爆破
08-30
ctfshow-web入门爆破中,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码中的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值