ctfhub——HTTP

基础认证

在题目附件中得到一个密码字典,所以猜测这道题就是利用burp爆破出登录密码,得到信息

ctfhub——HTTP_第1张图片

拿到题目后只发现一个提示,点击click

ctfhub——HTTP_第2张图片

出来一个登录框,在题目的附件中有一个字典,就是利用burp抓包爆破账号和密码登录

ctfhub——HTTP_第3张图片

抓包后通过中继器模拟发包得到数据回显提示,因为没有给出用户名字典,所以猜测这个就是用户名

ctfhub——HTTP_第4张图片

而且在数据包中出现的一个陌生字段,通过burp查看得知是base64编码之后的数据,而且解码之后发现与我们输入的数据没有差别

ctfhub——HTTP_第5张图片

然后我们配置到payload

ctfhub——HTTP_第6张图片

引用附件字典,然后依照上面数据包的格式给字典添加前缀和base64编码,爆破

ctfhub——HTTP_第7张图片

注意一定要把这个√给去掉不然会发生编码,答案会出错

ctfhub——HTTP_第8张图片

然后开始攻击就可以得到一个200响应的数据包,查看响应包得到flag

ctfhub——HTTP_第9张图片

响应包源代码

特别简单,我一开始还以为也要用到burp抓包查看,结果是查看源代码,我不知道burp能不能查看源码

但是浏览器自带的开发者工具就可以

ctfhub——HTTP_第10张图片

或者ctrl+U查看网页源码也行,没有做任何隐藏,是直接展示在源码中

ctfhub——HTTP_第11张图片

你可能感兴趣的:(安全)