CTFshow-WEB入门-爆破+burpsuite密码爆破模块介绍(web21)

释放双眼,带上耳机,听听看~!

web21

考点tomcat 认证爆破之custom iterator使用

1、先下载好题目的字典,后面爆破要用

先尝试进入页面,然后使用burpsuite工具抓包,但是可以看到无法抓取到Authorization字段,

可以测试后发现,输入不正确它不会发起请求,返回401,并会一直弹出验证窗口,

20210504225709

由于网页分成两半验证,也就是说进入网页以后弹出验证窗口以后属于后面一半的验证,这时候再开启代理,将无法发送请求,所以抓不到后面一半的数据,所以进网页前就要开启代理;

2、开启代理后,进入网页

burpsuite抓取到以后用里面的forward功能放包,使网页弹出验证窗口

20210504225712

这时候发现网页会弹出一个验证窗口

20210504225716

输入以后确认,burpsuite已经抓取到了,这时候Authorization字段成功抓取,使用base64解密以后发现用户名和密码用英文:隔开;

3、爆破

将请求包发送到Intruder模块(爆破模块)

20210504225720

选中需要爆破的密文并添加$

20210504225723

然后进入模块下的payloads选项,在payload options区域上传题目给出的字典文件

20210504225726

再在payload processing区域设置前缀也就是密码前面的内容为admin:

再添加base64解密

20210504225729

20210504225732

取消选中URL加密

20210504225734

之后为了速度快一些还可以自行设置一下字符长度以及响应时间等其他参数

20210504225737

最后点击开始爆破,等待出现状态码为200的即爆破成功

20210504225740

将爆破出来的密码发送到burpsuite里面的decoder,或者使用其他解码工具,解码得到密码

20210504225745

输入网页得到flag

 

给TA打赏
共{{data.count}}人
人已打赏
CTF笔记

CTFshow-WEB入门-信息搜集(web20)

2022-3-20 15:11:35

CTF笔记

CTFshow-WEB入门-爆破(web22)

2022-3-20 15:14:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索