WEB_输入密码查看flag

最新推荐文章于 2022-11-14 17:13:55 发布
最新推荐文章于 2022-11-14 17:13:55 发布
阅读量893 收藏 2
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/Gzu_zb/p/10359149.html
本文介绍如何利用BurpSuite工具进行密码爆破,通过分析HTTP请求,设置Intruder模块进行自动化爆破攻击,最终成功获取目标系统的登录密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目链接:http://123.206.87.240:8002/baopo/

题解:

打开题目

再注意题目的地址

提示我们,此题用burp进行爆破,burp软件下载链接:https://pan.baidu.com/s/1daOvlBo-pU2k9WYBN_5EQQ

因此,随便输入一个密码,用burp进行抓包,如我输入密码为12345

进入burp得到下图信息

将其发送到 Intruder

相关设置

在Positions中:

点击clear清除burp认为需要猜测的密码,然后选中12345(也就是我们刚才输入的密码)再点击add

选中密码,点击Add

参数设置好后,开始爆破

破解结果如下:

看到长度不一样,因此此项为密码,即为13579,输入密码框

得到flag,如下图

即flag为:flag{bugku-baopo-hah}

 

注意:在破解过程中不关闭代理设置

转载于:https://www.cnblogs.com/Gzu_zb/p/10359149.html

BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 1085
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
bugku题:web4、输入密码查看flag、点击一百万次
qq_43624349的博客
06-26 1296
web4 进入这道题发现有“看看源代码?”这个提示,然后我们就看看源代码 我们发现了一些URL编码和一些语句,虽然没有学过这些语句,但还是可以看出什么的,这很明显是p1后面的编码加上它下面第二行的那一小串编码,再加上p2后面的编码进行URL解码,解出来是这样的 这依旧没学过,不过中间出来了一串字符,我们用这串字符输入到题目下面的方框中,惊奇的发现flag出来了。 输入密码查看flag ...
webflag的python文件
12-14
webflag的一个python文件,怎么用就不用说了吧,随便在一个有python3.0或2.0的机子上就能用了,不过你那个flag的路径在哪,那么你在py文件中的flag路径也得改哈,别傻福福的直接用
Bugku:web flag.php
qq_26961571的博客
11-12 448
​终于步入200分的大关了,感觉题目会越来越难呢!! 打开网址之后, 不管输入了什么,反正点击Login确实是点不动的。 搜索了一下其他人的wp,才知道,这个提示里面的hint确实是提示,要用GET传参。【根本想不到啊啊】 显示出来源码了! 然后呢??接下来要做什么?? 分析了一下,需要反序列化的cookie等于KEY的值,即可显示flag。想想还是很简单的...【并不】 先写一段php代码,试一试需要序列化之后的KEY是什么,...
Bugku:web 输入密码查看flag
qq_26961571的博客
06-23 784
我发现有几个web的网页都打不开,只能选能打开的先做题了。本来想着全部的都做一遍,看来有些困难。 打开网址之后。 这个地方提示的非常强烈了!!!!5位数密码 非常容易联想到爆破,这题应该是最简单的爆破了。 打开BurpSuite,里面自带爆破字典。先抓包,再选择Send to Intruder。 注意,这里一定要抓到有pwd的包,否则没用,表示能够提交表单。 之后选择Payloads。 里面选择Payl...
web3 30 flag就在这里快来找找吧
房东的jian的博客
03-04 2136
题目如图 接下来我直接通过python来爬取网页的html信息 import requests url = 'http://123.206.87.240:8002/web3/' response = requests.get(url) print(response.content) 可发现如下内容 我们对标注的内容进行解码即可得flag ...
BugkuCTF-WEB-flag在index里
烟雨天青色
08-27 2750
这道题打开题目链接之后,页面只显示了一个名为“click me?no”的超链接,点开它。 点开之后可以发现页面变成的如图所示的样子,注意网页的url,根据url基本可以判断,这道题目属于文件包含类漏洞。 现在已知是文件包含漏洞的题目了,下一步我们就需要去读取被包含文件的内容,使用php://filter伪协议,具体如下: php://filter/read=convert.base...
dianli_jbctf_WEB_01_20150707flag作为参数以POST方式
最新发布
03-28
好的,我现在需要帮助用户了解如何通过POST方式提交参数dianli_jbctf_WEB_01_20150707flag。首先,用户的问题涉及Web开发和HTTP协议,所以我得从这些方面入手。 首先,我要回顾一下POST请求的基本概念。POST是HTTP...
知了堂网安培训 “输入密码获取flag“ writeup “有时候某些看似不起眼的小文件,或许会有大作用“
qq_35694424的博客
06-16 877
题目描述:有时候某些看似不起眼的小文件,或许会有大作用。 进入题目,发现一个web页面,根据提示扫描后台文件,得到sitemap.xml
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1198
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
webflag-开源
04-26
webflag是一个基于Web的软件,可以帮助您找到魔兽世界中的其他角色扮演者。 webflag使flagRSP附加组件系列中的字符描述在网络上可用。 您可以根据课程和级别范围搜索RP播放器
flag寻找字符串的题目
10-16
有道题目,寻找flag字符串,格式不清楚,用notepad打开是乱码,用分析工具分析可能是cel文件,也可能不是,求各位大大分析下
web flag.php,2020 WMCTF Web Writeup
weixin_30247833的博客
03-19 550
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:http://web_checkin.wmctf.wetolink.com/?content=/flagno_body_knows_php_better_than_me题目如下:highlight_file(__FILE__);...
Bugku:web flag在index里
qq_26961571的博客
06-23 991
这道题本来以为是简单抓包题,没想到是文件包含题目,让我打开了新世界大门。 老规矩,先打开他要求的网页查看查看源代码。 并没有什么东西。 点击了之后也是出现一行字。 源代码也没有任何东西。 这时候想到抓包,看了老半天的包,里面也是啥都没发现。只能百度了 百度说这是文件包含漏洞,给了一串url命令,主要是让file=index的意思,这岂不是完全依赖于题目提示了,看来题目还是非常关键的东西。 http://123.206...
bugku_web flag在index里
didid_w的博客
05-01 635
打开网页:点击之后url变成了:看到?file=show.php在结合题目 flag在index里 很容易想到文件包含试试:http://120.24.86.145:8005/post/index.php?file=file_get_contents(index.php)在试了其他的文件读取函数发现什么都没输出,说明可能有过滤条件得绕过过滤通过php伪协议利用PHP://filter/read=c...
web和pwn题的简单动态flag实现
qq_52820087的博客
11-14 7593
作为一个出题人需要有一些觉悟,这周花了三天时间去研究Dockerfile的写法,主要还是为了实现动态flag,思路理顺了就会发现,原来Dockerfile和动态flag这么简单,这里直接现写两个简单的题目来演示一下。使用build命令,构建题目镜像,name为dockerhub名(自行注册登录),webtest为镜像名(自定义),"."为版本号,代表latest,也可以自定义,不过拉取时记得加上版本号。把"start.sh"改为"flag.sh",以下为flag.sh的具体内容。
青少年CTF - Web - Flag在哪里 Wp WriteUp
zxsctf的博客
10-01 4797
在标签中的title标签下方,就有被注释的flagflag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
CTFshow web入门——信息搜集
小元砸的博客
01-12 4464
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
web入门小题(3)
qq_39607945的博客
10-28 496
第三次任务 题目一 名称:JSFUCK 题目地址:http://123.206.87.240:8002/web5/ 考点: JS加密 思路与解题流程:打开链接在源码中发现疑似JS加密的大堆字符,复制到console运行,得到flagFlag: ctf{whatfk} 题目二 题目名称:Login 题目描述:需要密码才能获得flag哦。 题目地址:http://web.jarvisoj.com...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值