攻防世界之weak_auth(web简单)

最新推荐文章于 2025-02-06 19:01:16 发布
最新推荐文章于 2025-02-06 19:01:16 发布
阅读量2k 收藏 4
点赞数 5
分类专栏: 攻防世界 文章标签: 安全 web安全 测试工具 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/my_name_is_sy/article/details/124989345
版权
本文通过一个登录验证页面的案例,详细介绍了使用burp等工具进行密码抓包和暴力破解的过程,并最终找到了正确的密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目 : 小宁写了一个登陆验证页面,随手就设了一个密码。

打开后看到是一个登录界面,那么就抓包吧,看看能发现什么。
在这里插入图片描述
这里如果随便输入一个用户名的话会提示用户名为“admin”,此处不在赘述。

这里记得设置代理。设置了代理才好抓包。至于抓包工具我是用的是burp,还是很方便的。
在这里插入图片描述
如上图,将抓到的包发给测试器,
在这里插入图片描述
先清除所有标记,然后选中密码处,点击添加。攻击类型直接选第一个就行,不用改。
在这里插入图片描述
负载数因为上面只选了一个密码,所以这里选择1。
载荷类型可以选择简单清单。
选择载入自己的字典。(他给的密码字典里没有“123456”)
然后单击右上角的开始攻击。

在这里插入图片描述

单击长度,将其按长度排序。

在这里插入图片描述

可以很明显的看到密码“123456”的长度为 437,与其他的不同。
单击词条“123456”,在下面选择响应部分,可以看到flag:cyberpeace{07846462764bccdd81a0aa45d1f581c7}

【网络安全 | CTF】攻防世界 weak_auth 解题详析
等风来
05-21 7733
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。正常来说,登录失败时会重定向至Login页面,而。该题密码较简单,故使用常规字典爆破可得flag。1.将请求包发送至Intruder并。用户名admin,密码1进行登录。2.设置Payload,添加字典。姿势较简单,本文不再赘述。3.启动爆破,查看结果。
[CTF/网络安全] 攻防世界 weak_auth 解题详析
Hacker_Nightrain的博客
01-03 481
本题结合Burp Suite爆破姿势考察弱认证绕过,读者可躬身实践。
攻防世界Web新手题 weak_auth
qq_52481261的博客
06-08 547
点击进入一个登陆界面,猜测是通过登录界面并获取Flag。尝试进行登陆操作并获得提示:请以admin进行登录,我们可以得到登录的用户名。首先点击clear,再选中密码部分并点击add,attack type不用改变,sniper就是针对单个爆破的情况。进入payload,点击load并选中password.txt,选择右上角start attack,开始爆破。既然用户名已经得到,就可以尝试获取密码,题目是弱认证,我们可以获取思路那就是通过字典爆破获取登陆密码。查看response即可看到FLag出现。
攻防世界weak_auth知识详解
m0_74047686的博客
03-18 2066
一、在CTF的Web题目中,有很多涉及到密码爆破的题目,一般可以从以下几个方面来判断密码爆破类型:题目描述:通常题目描述中会给出一些提示,例如提示破解某个服务的密码,或者提示破解某个加密算法的密钥等。这些提示可以帮助我们确定密码爆破的类型。请求响应:在使用Burp Suite等工具进行抓包分析时,可以查看请求响应,观察是否有类似密码错误、尝试次数限制等提示信息,或者观察是否有重复的请求,这些都可能是密码爆破的线索。加密算法:如果题目中涉及到密码加密算法,可以通过分析算法的特点来判断密码爆破类型。
攻防世界-weak_auth
HEAVEN569的博客
03-14 1091
题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。 weak_auth:弱认证,就是弱密码,可以通过爆破方式得到密码 1.随便输入一个账号和一个密码 2.发现提示账号是admin,密码不知道,可以通过爆破得到。 所以只需要爆破密码,不需要爆破账号,简单很多 3.开启代理抓包,使用burp suit爆破,发送到爆破模块(send to intruder) 4.进入intruder模块,只添加一个爆破点,就是密码的位置 5.添加密码字典在里面,最后开...
攻防世界——weak_auth(NO.GFSJ0482)
hhsjjsj的博客
09-11 1219
接下来进入poloads,在payloads模块加入你自己的字典,,这里我是随便输入了一些,因为我已经做过了,知道密码是123456,所以这里只是演示一下。等待程序运行完成后,通过长度来对比出不同的项目,可以看出来123456的length值跟其他的不一样,因此我们可以试一试密码是否为123456。我们先随便输入一些内容,可以看见页面的弹窗,提示我们用admin登录,那我们知道账号了,接下来就可以直接爆破密码了。结合题目内容,可以判断出来这是弱口令类型的,那么我们只需要暴力破解就行。
攻防世界——weak_auth
weixin_73668856的博客
11-22 345
web新手
CTF-WEB攻防世界题目实战解析weak_auth
2301_76565920的博客
04-20 2453
题目:weak_auth(弱认证) 难度:1
利用burp suite进行弱口令爆破 (攻防世界web weak_auth
Kni9hT's Blog
02-28 5357
终于刷到这种题了,做二进制的时候用过python爆破… 用burp suite跑字典还是第一次。 那就从这个简单的字典爆破开始吧。 利用工具: burp suite Blasting_dictionary-mastergithub字典 爆破环境: kali linux 正题开始 题目叫做weak_auth,翻译过来就是弱口令爆破 打开是一个登陆界面,username和password都使用a...
攻防世界webweak_auth用yakit怎么做
10-16
这通常涉及修改Yakity的规则集文件(例如`config/default.yml`),添加针对weak_auth的检查规则。 3. **扫描目标URL**:运行Yakity的命令行工具,指定你要测试的网站URL,让它自动检测弱认证漏洞: ```bash ...
攻防世界——Web——weak auth
慎铭的博客
01-26 3502
  本题可以用burp suite进行密码爆破,这里主要记录用Python脚本处理的方法,脚本如下 # -*- coding:utf-8 -*- import requests ur1 = "http://111.200.241.244:57516/check.php" with open("wordlist.txt", "r") as f: for line in f.readlines(): data1 = {"username":"admin", "password":li
3.攻防世界 weak_auth
最新发布
2401_86760082的博客
02-06 1557
常用弱口令密码
攻防世界-webweak_auth
weixin_73625393的博客
10-30 563
l选项支持@,%^;解释:生成4个字符形式的字典,选用字符集mixalphanumeric-all-space,输出文件名为w.txt,满足【小写字母+d+小写字母+小写字母】的样式,起始字典为cdab。crunch 4 4 -t @,%^ -o 1.txt -z 7z # 生成四位数的字典,满足【小写字母+大写字母+数字+符号】的形式,输出文件名为1.txt,压缩成7z格式。crunch 6 6 -t @,%%^^# # 生成6位数的字典,满足【小写字母+大写字母+数字+数字+符号+符号】的形式。
2024.12.4——攻防世界weak_auth
2402_87387800的博客
12-04 326
知识点知识点。
攻防世界 weak_auth
weixin_68416970的博客
12-26 267
攻防世界平台 web题库矩阵 新手模式 weak_auth
攻防世界11weak_auth
weixin_49765221的博客
04-17 750
爆破的使用
攻防世界weak_auth详解——爆破)
l2ohvef的博客
11-10 1042
3、打开position,点击Clear,选中账号,点击Add;选中密码,点击Add;Attack type>Pitchfork ,开始爆破。1>payload set表示爆破参数,用户名和密码是两个爆破参数,故填选2;5.返回结果如图所示,状态码200表示访问成功,返回长度与其他不同的即为正确的账号密码。2.输入用户名和密码,burp抓包,然后发送到Intruder(爆破)6.得到账号:admin 密码:123456,登录后得到flag。1.打开burp,打开浏览器代理,打开网页拦截。
攻防世界-web weak_auth[解法思路]
2301_80241182的博客
11-24 293
攻防世界-web weak_auth
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值